Författare: Erik Zalitis

19 september, 2020

Show Notes för #92 avancerat skydd med Joakim Sundberg

Välkommen till nyheterna. Detta händer just nu: alla hackar allt, man DDOSor också hela tiden och sen händer ibland även dåliga saker. Detta var nyhetssändningen, nu tillbaka till dagens pausfågel.

Avsnittet heter 92 avancerat skydd med Joakim Sundberg
Det spelades in 2020-09-11 och lades ut 2020-09-20.
Företaget heter Baffin bay networks.
Deltagare: Mattias Jadesköld, Joakim Sundberg och Erik Zalitis
Show notes skrivna av Erik Zalitis.

Först den uppenbara geografiska kopplingen till företaget: Baffin bay är ett riktigt ”fly over”-territorium för den som ska till t.ex. San Francisco.

Havet är tydligen lite blåare här, om man tror att kartor alltid visar världen som den ser ut, men annars verkar det inte vara så mycket som verkar pågå.

Baffin Bay Networks må ha snott namnet från just den bukten, men de är bra mycket mer intressanta för IT-säkerhetsfolk rent allmänt. Joakim, som jobbar där och även är en av grundarna, ger klara besked både om vad som krävs för att skydda stora tjänster och hur attackerna på nätet ser ut.

Det som förvånade mig, som ju tror att jag vet något om IT-säkerhet, var när Joakim berättade att DDOS-attacker oftast är ”digitalt klotter” utan avsikter att utpressa ägaren till systemet. Men så är det givetvis.

Rätt uppenbart är det otroligt svårt att skydda mot alla hot på nätet. Och de mest krävande systemen kräver idag att trafiken måste gå genom ett avancerat filter där man plockar bort allting som kan skada det mottagande systemet. Och statiska filter som tar bort kända signaturer räcker förmodligen inte för system som är utsatta. Baffin bay har tagit fram en ”avancerad molntjänst” som ställer sig i vägen för trafiken som ska till deras kunder. Detta gör att det som väl når fram, precis som jag skrev ovan, har gått igenom stora mängder kontroller och sannolikheten att något skadligt nått fram är därför låg.

Idag kan ingen vara en ”single point of failure”, så de har inte nöjd sig med ett data center på en plats. Istället har man data center i närheten till kundens datacenters geografiska position. Man använder peering för att kunna vidmakthålla bra prestanda genom tjänster.

Metropolen Västberga. Före detta huvudkontor för Ericsson.

De har placering i Singapore, Frankfurt, Amsterdam, Stockholm… och Västberga… Känns som en rätt udda plats, givet hur internationella de andra städerna känns. Sist jag kollade, låg väl dessutom Västberga i Stockholm också.

Förutom skydd för attacker mot server, är deras viktigaste skydd att de kan hindra distributed denial of service-attacker från att lyckas ta ner tjänster.

Vi hinner också snacka lite om störningar på Century networks och varför det gick som det gick (hint: det var inte aliens, hackare eller butlern som gjorde det).

Spelas det en Abba-cover på radion? Nix, det är faktiskt lite mer allvarligt än så.

Går du till deras hemsida, finns en nödknapp som ger dig ett telefonnummer att ringa om du är utsatt för elaka typer som försöker sabba din nätnärvaro. Visserligen en bra sak, men tror de flesta mår bäst av att fixa sin säkerhet innan det smäller. Dock vet vi att många väntar tills allt går åt skogen innan de funderar på sådana saker.

FPGA – virtualisering för dina transistorer

Vi pratar en del om FPGA (Field-Programmable Gate Array). Så vad är det? Om du kör en virtuell maskin, vet du säkert att den presenterar det operativsystem som körs virtuellt med en ”fejk-hårdvara”. Men denna ”hårdvara” fungerar inte som dess riktiga motsvarighet gör, utan bara tar emot samma kommandon och ger samma svar som den riktiga skulle ha gjort.

En FPGA virtualiserar däremot hårdvaran på grindnivå (alltså logikgrind, som en transistor i ett chip). Man kan alltså bygga ett riktig chip i mjukvara. Detta användes till en början för att bygga chippen som just mjukvara för att inte behöva bygga dem på riktigt innan man testat att de fungerar som de ska. Mycket billigare än att ringa fabriken varje gång man hittar en bugg.

Men denna teknologi har visat sig extremt snabb, effektiv samt säker. En hel del nätverksutrustning har gått över till FPGA-teknik för att göra prestandan bättre. De kan hantera nätverkstrafiken på ”tuple”-nivå, och på så sätt hålla koll på pågående sessioner utan att det kräver stora mängder prestanda. Effekten är att varje modul kan hantera stora mängder paket och kan hålla koll på TCP/UDP-sessioner utan att nödvändigtvis fylla upp en tillståndstabell (state table) när det blir mycket trafik.

De ger också möjligheten att bygga kretskort till gamla datorer som accelererar dem till oanade hastigheter. Apollos ”Vampire” till Commodore Amiga innehåller en 68080, en processor som aldrig funnits, men bygger på och förbättrar den Motorola 60060 som var den sista modellen innan serien lades ner.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Företagets hemsida:
https://www.baffinbaynetworks.com/

Katastrof just nu? – de har givetvis även tänkt på detta:
https://www.baffinbaynetworks.com/under-attack

FPGA ger många fördelar för utveckling, säkerhet och hastighet. Men kan de trots detta hackas?:
https://www.darkreading.com/edge/theedge/meet-fpga-the-tiny-powerful-hackable-bit-of-silicon-at-the-heart-of-iot/b/d-id/1335730

IP reputation kommer från mailvärlden, men är givetvis inte begränsat till just detta:
https://www.mailchannels.com/what-is-ip-reputation/

6 september, 2020

Show Notes för #90 – Technical support scam

Microsofts ”What me worry”-pose. Eller är det för elakt? De är faktiskt ganska aktiva i att informera allmänheten om dessa typer av brottslighet och hur man undviker att gå i fällan.

Avsnittet heter 90 – Technical support scam
Det spelades in 2020-09-04 och lades ut 2020-09-06.
Deltagare: Mattias Jadesköld och Erik Zalitis
Show notes skrivna av Erik Zalitis.

”Hello, we’re calling from Windows support”. Denna typ av support-scams har varit väldigt framgångsrika under de senaste tio åren, men de börjar bli mindre vanliga nu. Kanske har de gjort sitt och faktiskt blivit mindre lukrativa. Eller så finns det bättre metoder att lura folk? Som jag säger i podden, har varje attack sin tid eller som man säger i det stora landet i väster ”Every dog has it’s day”.

Letar man på Google efter Tech support scams, är det ”Scambaiters” som dyker upp först. Precis som vi säger i podden. är det personer som gärna djävlas med supportscammarna genom att ringa dem och försöka sabba för dem eller ta över deras datorer.

Episode 100: 100th Episode Spectacular | The Agile Revolution Podcast
Fråga: varför lägger man så mycket vikt vid faktor 10 av vår gemensamma talbas? Skulle folket i Babylon som baserade sin aritmetik kring bas 60 ens ha brytt sig? Troligen inte, det fanns nämligen inga podcasts på deras tid, jag säger bara det.

Men vänta lite! Vi måste ju också konstatera att vi just nått vårt första 100! Just det, idag lägger vi ut vårt hundrade avsnitt på Internet. Hurra… Vad blir det för firande? Inget, men vi är i alla fall glada över att det hänt!

Framtiden är dyster – för dem, inte för oss

En nedbrytning av olika typer av vägar som man kan råka ut för. De där samtalen man får, är uppenbarligen inte de enda vägarna in i eländet.

Antalet rapporterade fall av dessa bedrägerier har minskat från 68% till 63% enligt PCMag. Men en av fem kommer i alla fall att låta bedragarna leda dem vidare även om långt i från alla av dem blir avlurade pengar. 2018 rapporterades att 6% av alla som kontaktas förlorar pengar som en direkt effekt. Det är enkelt att se att detta är mycket bra siffor jämfört med t.ex. Spam. … Eller kanske ska vi säga dåliga siffror, eftersom vi faktiskt inte vill att de ska lyckas.

Errata

Nytt stycke där jag skriver om felaktigheter i avsnittet eller förtydligar saker som kan missförstås. Vi har givetvis gjort detta tidigare också, men det är tydligare att ge dem ett eget stycke.

  • Dock inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

PC-mags artikel om bedrägeriets nedgång:
https://uk.pcmag.com/news/118079/tech-support-scams-still-a-problem-but-things-are-improving

Det kan gå tufft till i branschen:
https://www.cbc.ca/news/canada/british-columbia/microsoft-tech-support-scammer-recorded-threatening-to-kill-b-c-man-1.2980453

En hel del matnyttigt som vanligt på Wikipedia:
https://en.wikipedia.org/wiki/Technical_support_scam

Kitboga, en av många lyckade ”Scam baiters”:
https://en.wikipedia.org/wiki/Kitboga_(streamer)

29 augusti, 2020

Show Notes för #89 – När Twitters VD blev nazist

Det kanske är elakt att se det som hände som en modern variant av en busringning, givet att det som skrevs var riktigt vidrigt, men det finns onekligen en del paralleller med samtal där man utger för att vara en känd person för att få denne att framstå i dålig dager.

Avsnittet heter 89 – När Twitters VD blev nazist
Det spelades in 2020-07-02 och lades ut 2020-08-30.
Deltagare: Mattias Jadesköld och Erik Zalitis
Show notes skrivna av Erik Zalitis.

Ok, det kanske inte är det mest finstämda att skriva en rubrik som invokerar Godwins lag, men där är vi. Det var ju också ganska exakt så det såg ut, när Jack Dorsey, Twittrade ett antal riktigt hemska Tweets. Men sanningen klargjordes rätt snabbt när Twitter meddelade att kontot hackats.

Visst kan man nöja sig med att bara snacka om hur det förmodligen gick till, vilket vi också gör. Men diskussionen går sedan i vidare svängar när vi funderar på om Svenska telebolag skulle kunna luras att aktivera SIM-kort de själva inte skickat ut. Sedan fortsätter vi att fundera på vad det innebär när vem som helst kan utge sig för att vara en viss person eller ha en viss kunskap och hur det påverkar hur vi tolkar och bedömer nyheter. Twitter är onekligen kraftfullt så att det skrämmer länder till att försöka stoppa tillgången till det, vilket blev standard för diktaturer att göra efter Arabvåren.

Men vad hade kunna hända om man inte bara använt kontot för att jävlas? Tänk på vilken skada något som kunde ha påverkat börsen skulle kunna ha gjort? Eller att läcka riktig information på detta sätt. En impersonering som denna hade kunnat användas för att göra bra mycket värre saker än vad som faktiskt hände.

Vi hade också en del tankar om hur detta kopplar till identitetsstölder, vilket detta på ett sätt faktiskt skulle kunna ses som. Detta inkluderar en sann historia där anti-piratbyråns ”piratjägare” Henrik Pontén fick sitt namn bytt hos Skatteverket.

Inalles en ganska intressant diskussion som gjorde bara dagar innan det senaste intrånget på Twitter kom att ske. Så det kanske verkar som vi missat det, men så är inte fallet, vi är helt enkelt inga Nostradamus. Inte för att de hade hjälpt givet dennes ”track record” för korrekta förutsägelser.

För att avsluta det hela, kan jag meddela att detta är det 99:onde avsnittet. Tillsammans med alla specialavsnitt som också gjorts, är vi faktiskt redan där. Nästa blir då ett 100-avsnittsjubileum.

23 augusti, 2020

Show Notes för #88 – Från det kalla kriget till dagens spioner på nätet

Avsnittet heter 88 – Från det kalla kriget till dagens spioner på nätet
Det spelades in 2020-07-07 och lades ut 2020-08-23.
Deltagare: Erik Zalitis, Fredrik Eriksson (Försvarshögskolan)
Show notes skrivna av Erik Zalitis.

“To know your future you must know your past” – George Santayana

Det kanske kan tyckas märkligt att avsnittet pågår i över 50 minuter innan IT-säkerhetsområdet berörs. Men detta är inte så konstigt. Hur länge har IT-säkerhet ens varit ett ämne? Inte lika länge som vi haft spioner, agenter, provokatörer och underrättelsetjänst. Vårt kära område ärvde allt detta innan det ens kommit en meter på vägen mot den verklighet vi har idag.

Fredrik Eriksson jobbar på Försvarshögskolan och har god koll på historien. Man skulle, som ni säkert vet, kunna säga att kalla kriget började efter 1945 när de såta vännerna USA och Sovjet började titta snett på varandra. Den värld som Roosevelt, Stalin och Churchill skapade på Jalta efter ett fylleslag eller två har vi levt i sedan dess. Sovjet må ha fallit och nya spelare har dykt upp, men kalla kriget är inte dött.

Någon gång på 2000-talet började världen ändras i en allt snabbare takt och Internet ändrade ekvationen totalt. De spelare som såg möjligheterna vann och de andra fick nöja sig med att gå kräftgång.

Fredrik Eriksson på Försvarshögskolan.

Fredrik har en enorm kunskapsbank som han gärna öser ur och avsnittet är faktiskt en timme långt, men Fredrik har inga problem att hålla det hela intressant och spännande.

Det är lätt att bli kallad foliehatt när man oroar sig för säkerhet och privat information, men Fredrik berättar klart och koncist om hur hoten faktiskt ser ut, baserat på sin egen och Försvarsområdets totala kunskap. Kalla mig gärna paranoid, men den dag Försvarsmakten INTE är det, då har vi problem.

Runt 49:30, citerar jag Asimov. Hela citatet ovan.

Länkar

Några tankar om framtiden från mig:

En mycket intressant diskussion om hur USA tappat mark och nya spelare tar över:
https://www.youtube.com/watch?v=hhMAt3BluAU

Kanadensaren JJ McCoullough berättar roat om påverkansaktioner han sett i verkligheten:
https://www.youtube.com/watch?v=2mQ8plzWl9g
(Alla påverkansaktioner görs inte nödvändigtvis av stater, man kan råka ut sekter, politiska organisationer eller andra aktörer som säljer ideologier eller synsätt)

… och till sist, jag passar på att tipsa om ett högst personligt litet projekt, en ”radiostation” som spelar Amiga-musik blandat med anekdoter från Amigans storhetstid. Det är inte en uns IT-säkerhet i den dock. Men allt kan inte handla om det, bara nästan allt…

Watch my YouTube-channel, please! I’m a starving artist/entrepeneur/influencer who just wants free stuff! 🙂
15 augusti, 2020

Show Notes för #87 – Hollywood och hackaren – tre filmer som gör det rätt

Ok, det är film-hackning, men vad sjutton gör växeln -0??

Avsnittet heter 87 – Hollywood och hackaren – tre filmer som gör det rätt
Det spelades in 2020-07-02 och lades ut 2020-08-16.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Såååååå…. Vi är tillbaka med ett lite mer skämtsamt avsnitt där vi skrattar gott åt Holywoods oförmåga att förstå hackning. Helt ärligt behandlar de hackare som om de vore magiker från en fantasy-story. Kommandona de skriver på sina terminaler är ingenting annat än besvärjelser som de kastar vid tangentbordet. Så min jämförelse med alignments i rollspelvärlden är inget jag valt på slump. Det heter dock chaotic neutral och inte tvärtom:
http://easydamus.com/chaoticneutral.html

Sen vill jag notera att det låter som jag säger att NMAP kan användas för war dialing, det kan den inte. Jag uttryckte mig lite klumpigt, men menar helt enkelt att NMAP är som en war dialer fast för nätverksenheter. Egentligen inte en felsägning, men behöver förtydligas.

En accoustic coupler. Att tala om två muffar på en sandal är nog ingen vidare liknelse. Det är mer två muffar på en glasögonlåda, eller hur?

Mattias är nog rätt trött på mina utvikningar om retroprylar vid det här laget, men jag måste ändå få nörda ner mig i IMSAI-datorn och sandalen… eh… modemet.

Toneloc var en av den gamla tidens war dialers:
https://en.wikipedia.org/wiki/ToneLoc

Hollywood OS

Nu kan jag inte hitta det, men första gången jag såg begreppet Hollywood OS, var i en web serie där några IT-snubbar byggde ett och givetvis hade det blinkande varningsmeddelanden, rullande text, ljud när man tryckte på knapparna och så vidare. Eftersom jag inte hittar den (Vadå ”Internet glömmer aldrig” ?) får ni nöja er med dennas guide:
http://nand.net/~demaria/hollywood.txt

Nmap och porr

Screen is up here, dude!

För ett antal år sedan hade Nmaps hemsida en artikel om en filmad användarguide där en barbröstad kvinna lärde ut hur man använder verktyget, men de fick ta ner den, på grund att alla laddade ner bilderna och det blev för dyrt för dem ha dem kvar. Ibland undrar jag om vi människor egentligen är illa evolverade Bonobos…

Filmen heter ”HaXXXor Volume 1: No Longer Floppy” där E-lita (3-13378?) demonstrerar Nmap. Jag rekommenderar att man INTE söker efter den av ganska uppenbarliga skäl.

Här är alla gånger som Nmap setts i filmer (inklusive exemplet ovan!):
https://nmap.org/movies/

Portskanning är inte ett brott!

Tycker inte ja i alla fall, så om du har dolda portar som du inte vill ska hittas, bör du nog tänka om. Det är svårt att skydda sig mot att folk skannar dina nät om de kan nås från Internet.

Film: War games

Vi går ju igenom handlingen rätt ordentligt, så vi kanske inte ska prata så mycket mer om den här. Jag läste nyligen att John Lennon var tänkt att spela professorn i filmen. Men hans liv tog slut när han mördades av Mark Chapman december 1980, så det blev aldrig av.

Film: Matrix reloaded

Ja, jag gillade aldrig Matrix reloaded och Matrix revolting… ehh… revolutions. Däremot gillar jag att man kan hacka AI med SSH.

Och det är nördpoäng på att pausa sin DVD eller VHS

Appropå det där Family guy-avsnittet jag pratar om…

JA! Jag är #kränkt! Skämtet borde vara roligare. Seth för tusan!

Film: Office space

”Det är ju min häftapparat” tyckte mannen som inte riktigt fattade att han fått sparken, men ändå satt kvar. Filmen är ganska absurd och slutar med mordbrand och rutten moral.

Penny shaving och salami slicing är intressanta attacker där man i små steg, långsamt stjäl stora värden:
https://en.wikipedia.org/wiki/Salami_slicing

Sen låter de ju onekligen ganska ekivoka (vem är Penny, förresten?) vilket inte undgår oss i denna mer flamsiga diskussion.

Länkar

NCIS hanterar hackare riktigt illa … och sedan riktigt väl:
https://www.youtube.com/watch?v=u8qgehH3kEQ

26 juli, 2020

Fler höst-tankar

Ny polis-sketch som mer korrekt visar den som hittade vår poddutrustning och lämnade in den till polisen utan att begära någon hittelön.

Grejerna är tillbaka! Vad kan jag säga? För några dagar sedan ringde polisen i Solna och förklarade att man hittat väskan med vår utrustning och jag åkte sedan över till stationen och hämtade väskan. Grejerna fanns kvar och allting fungerade, så detta är goda nyheter.

Siteflytt och kamp med CSP-headers

Vi är uppenbarligen inte riktigt 100… Och då vi tyvärr inte kan sätta upp IPV6-stöd ännu, så får vi nöja oss med detta. Men alla andra grejer är gröna. Checkbox-security eller värt det? Vad tycker ni?

Jag ruttnade tillsist på Godaddy, där vi haft siten och flyttade det hela till en annan maskin i väntan på en bättre lösning. Men detta gjorde att jag faktiskt bestämde mig för att titta på säkerheten.

Upprinnelsen till detta är en kommentar på Linkedin, där en användare meddelade att vår sida fick dåligt betyg på test-tjänsten ipv6.cool. Denna tjänst sätter betyg enligt fyra kriterier och vi som inte ens hade DNSSec fick därför inga särskilt bra poäng.

DNSSec visade sig knepigt att fixa, då vår domänregistrator inte stödde det. Så jag flyttade domänen till en annan med fullt stöd. Sedan var jag tvungen att flytta domänen från DNS-servern som inte heller stödde DNSSec. När det var gjort, signerade jag zonen och lade upp DS-nyckeln i zonen hos registratorn.

HTTPS har vi ju haft länge, men nu har även det härdats. Jag lade till HSTS och bråkade med Qualys testrapporter tills vi nådde betyget A+.

Har ni gamla mögbrowsers eller tio år gamla mobiltelefoner, kommer inte sidan se så bra ut. Huvudsakligen för att den inte ens kommer gå att ladda. Men vad gör man inte för konsten?

Jag har ju pratat om DANE också och då går det ju bara inte för sig att inte stöda det! Så nu har jag lagt in TLSA-poster och fixat så att certifikaten uppdateras dynamiskt. Och sedan knäppte jag på OCSP-stapling som också hjälper till.

Till sist var det dags att kolla genom alla HTTP-headers som vi skickar tillbaka och detta visade sig var svårast. Testa, testa, testa och slita av sitt hår i förtvivlan när inget fungerar har varit mina senaste tre-fyra dagar.

CSP (Content Security Policies), som deklarerar för webbläsaren vad vår site förväntas göra och varifrån den hämtar data, tog längst tid att få ordning på. Jag har suttit och ändrat och skruvat på den i timmar, men nu är den fullt kompatibel och ser till att om någon skulle kunna få skadlig kod att laddas ner via till exempel en IFRAME som de lyckats få in på vår sida, kommer inte denna kod kunna hämtas.

WordPress med ett antal plugins, här visualiserat som sin motsvarighet i köttvärlden, som Mattias skulle säga. Startar långsamt men rullar sedan bara på.

Till sist satte jag mig och bankade mig igenom Googles performance rating som nu ger acceptabla poäng på sidans snabbhet. Att få de högsta poängen är svårt då WordPress i sig själv är trög som en rysk tank.

I stort är jobbet klart, men det finns massiva mängder saker att göra med våra andra webbsidor och så.

Nu är det dags för en kaffebreak och en lugn söndagseftermiddag… Nästa vecka kommer vi tillbaka. Då blir det vårt försenade loggningsavsnitt – del 2 som dånar ut i den icke-existerande etern.

19 juli, 2020

Höst-tankar – mitt under sommaren

Polistecknarens bild på brottslingen som stal vår poddutrustning. I alla fall enligt vad jag tycker vore mycket roligare än vad som egentligen hände i verkligheten. På Engelska heter det ju ”cat burglar”, så varför inte?

Skrivet i vanlig oordning av Erik Zalitis

Jag hade en galen idé, varför inte spela in avsnitt två i vår serie om loggning utomhus? Så jag packade ner en del av poddgrejerna i min väska och satte dem på pakethållaren. Dock spände jag i all hast inte fast dem ordentligt, så väskan ramlade av. Även om jag upptäckte felet snabbt, var någon annan snabbare att roffa åt sig grejerna. Så där rök utrustning för 10 000 kronor.

Jag har grejer kvar för att spela in poddar, men just då kändes det inte särskilt lockande, så nu är det tyst i vår eter fram till augusti, då allting vaknar upp igen.

Det är dock redan nu dags att prata om hur hösten kommer att bli på IT-säkerhetspodden. Visserligen en tidig plan som kan komma att ändras, men ändå…

Kommande avsnitt…

Datumen stämmer ju inte längre, men det blir av! Så är det bara.

När vi återkommer blir det för att avsluta vår serie om loggar och loggning. Denna kör jag själv och vi får se om de andra två avsnitten kommer att göras som webinars. Inget löfte, men ljud blir det garanterat.

De gav oss faktiskt datorn, så de har verkligen tappat ALL kontroll i hur vi faktiskt går till väga för att testa den. Brandväggar behöver lite tuff kärlek.

Därefter har jag och Mattias händerna fulla med att testa en känd leverantörs bärbara PC med ett inbyggt skydd som ska göra dem extremt säkra. Det kommer vi bli två om! Ingen pardon utlovas, men likväl ett ärligt test som kommer avslöja om det bär eller brister.

Riggat och klart för en diskussion om en historia som lika mycket hör till nutiden och även framtiden.

Sen blir det en långkörare. Vårt första avsnitt på en timme kommer att vara en diskussion mellan mig och Fredrik Eriksson på Förvarshögskolan där vi börjar med kalla kriget och landar i nutiden där underrättelserna flödar på Internet och mannen i trenchcoat har blivit digital och gett upp kikaren för att istället ladda ner ditt data som du lägger upp publikt och köra det genom maskininlärningssystem.

Ok, det är sista gången DU får beställa pizzan…

Vi har även två avsnitt som är redo att rulla ut så snart vi är tillbaka. Det ena är en humoristisk syn på de få gånger Hollywood verkligen förstått hur hackare fungerar och i det andra går vi på djupet med hur Twitters VD skrev nazistiska budskap i sitt Twitter-flöde.

Ljudteknikerns guide…

Ok, sorry, men jag bara måste. Det blir ju självklart förbättringar i ljudet i och med förlusten av vår utrustning leder till att ny är på väg. Det svider i plånboken, men det kommer inte göra ont i era hörlurar.

Schysst! Den inte bara ser cool utan, den är det också. Sen om våra röster är värdiga denna typ av mikrofon är en… låt oss säga… akademisk fråga… Vi säger så….

Neuman TLM 103 är en mycket välljudande mikrofon som enligt utsago kan jämföras med deras legendariska U87 som kanske kan tros vara en ubåt, men i själva verket är ljudets Rolls-Royce. (Jag kommer aldrig få slut på metaforer) Riktigt så bra är kanske inte 103an, men bra nära säger förståsigpåarna, och de borde ju veta och ljudproven på YouTube lovar fantastiska resultat. Mina öron håller med.

Sen har jag köpt in ljudskärmar som kommer göra att akustiken blir bättre, vilket är ett stor kamp för oss som inte har en egen studio.

Till sist byts vår hederliga och nu stulna Zoom H6 ut mot deras nya Zoom F6. Förutom fler mikrofoningångar har den ett poddläge som stänger av mickar som för närvarande inte pratas i. Detta måste jag nu göra manuellt, så funkar detta, halveras mitt redigeringsarbete.

Sen spelar den in i 32-bitars läge, vilket snillrikt nyttjas för att ge ett antal extra dB av ”head room”. Effekten blir att överstyrning blir mycket mindre sannolikt. Detta gör att jag slipper fokusera på att hålla efter ljudnivåerna på petimeternivå.

Så det är ju bara lovande just nu. Dessutom labbar vi med att ta fram metoder för videoinspelning, vilket gör att det kan bli mer sådana avsnitt, även om vi till syvendes och sist är en äkta podd.

Nej!!! Jag vägrar bli hipster… De har ju sålt ut. Jag gillade dem bara innan de var populära…

Är framtiden ljus, ja, men solglasen är fortfarande frivilligt.

9 juli, 2020

Ljudnörderi – hur vi gör podden

Såhär såg jag ut 1994 när jag började min karriär som ljudtekniker. Det fanns ingen närradiostation som jag inte sände från så fort jag fick möjlighet… Däremot blev det aldrig en professionell karriär för mig. Men man vart ju istället rätt hygglig på IT-säkerhet.

Skrivet av Erik Zalitis

”Det finns inga genvägar till det perfekta ljudet” säger ju farbror Barbro, och henom måste ju ha rätt eller hur? Faktum är att jag inte håller med. När man arbetar med ljudteknik, hittar man snabbt just genvägar för att göra att det låter bra och går så effektivt som möjligt att spela in.

Så låt mig berätta exakt hur IT-säkerhetspodden spelar in ljud och ser till att det kommer ut på nätet. Efter detta kommer ni förstå att det är allt annat än att bara sätta upp en mick på ett bord och sedan bara snacka på. Visst kan man göra så, men det blir därefter.

Låt mig därför ta dig med på en berättelse om hur vi spelar in ett avsnitt från när den feta duffelväskan med ljudutrustningen åker fram tills Libsyn publicerar det färdiga avsnittet.

Från vänster till höger: Erik Zalitis, Derek Melber och Mattias Jadesköld. Lokalen är Nordlo Improves lokaler i Kista där jag och Mattias normalt arbetar. Den mobila utrustningen är lätt att sätta upp och vi är snabbt igång var vi än månde vara.

Alltid mobil – alltid redo

Här sitter vi och spelar in den spännande historien om hur företaget AddTech hackades. Det är deras IT-chef som berättar och Kent från Sig Security som medverkar tillsammans med mig och Mattias (längst till höger)

En del poddar har lyxen att ha en studio och andra hyr en. Men vi är alltid mobila. Ge oss ett hyggligt tyst rum och vi är redo att spela in på några minuter. Det har ingen betydelse om det är jag och Mattias eller om vi har en eller flera deltagare.

En del gäster möter vi på deras jobb eller i en lokal som vi fixar fram själva. Andra intervjuas via Teams, Zoom eller annan konferansprogramvara. Detta är mycket vanligt nu i Coronatider.

Duffelväskan innehåller portabla mickstativ, tre mickar, en bandspelare, kablar och hörlurar. Många kopplar mickarna till en dator och lägger på effekter i realtid under inspelningen. Vi gör all processing i efterhand. Så det enda man måste göra under inspelningen är att justera ljudnivåerna och lyssna på att folk hanterar mickarna rätt.

När man rattar ljudet måste man konstant vara redo att korrigera fel som uppstår. Folk riktar sig bort från mickarna, prasslar med papper och fläktar går igång helt plötsligt utan förvarning.

Mattias brukar skämta om hur petig jag är med att folk ska sitta rakt framför mickarna, hålla händerna stilla och inte vrida på sig hela tiden. Om man inte håller pli på alla, går det sen inte att rätta till de störljud som uppstår i efterhand.

Dessutom måste man kompensera för hur folk pratar. Jag har en dynamisk röst som går upp och ner i ljudstyrka. Mattias har en mycket mer jämn röst, men har en tendens att ibland prata vädligt tyst, nästan viska. Sedan drar han in luft i lungorna och tar i så att mätarna går i taket. Man lär sig snart att lyssna efter hur folk pratar och förutsäga hur man ska justera nivåerna. Intervjuoffren är ett värre problem. Man vet inte hur de kommer använda sina röster. Några pratar med samma röstläge hela tiden, medan andra går mellan tordönstämma och tyst som en mus.

En digital ”bandspelare” är också en knepig sak. ”På min tid”, som vi gubbar gillar att säga, var det mesta analogt. En analog bandspelare tål måttlig överstyrning utan att det låter för dåligt. En digital gör det inte. Så fort du når ”nollan”, finns inga fler bitar kvar för att beskriva ljudet och då blir det blixtsnabbt svårt distorderat om man inte drar ner volymen när någon höjer rösten.

Men låt oss tala om utrustningen…

Nutidens Nagra? Detta är bara en i raden av digitala ljudinspelare som mer eller mindre ersatt alla mekaniska bandspelare bland radioreporters och filmskapare.

Bandspelaren: Zoom H6

När vi startade podden, plockade jag fram allting jag hade kvar från mina närradiodagar. Bland annat en digital Fostex Portastudio. Men jag var orolig för att den 16 år gamla maskinen skulle ha problem med sina åldrade CF-Kort och dessutom kändes den fel för ändamålet då den är mer menad för musiker och hade rätt lite spelrum för svårdrivna mickar. Så jag började kolla runt och Zoom H6 blev mitt val. Den är en märklig tingest som har fyra XLR-kontakter för mikrofoner med fantommatning och en mick-preamp med mycket gott headroom. Dessutom kan den expanderas med mickhuvuden eller två extra mikrofon-kontakter. Och den har en tydlig display som kan drivas på batterier och har multikanalinspelning för varje mikrofon. Den är lite dyrare än många andra liknande enheter, och det blev ju något jag fick stå för själv då vi inte hade några pengar för att göra podden. Men den fungerar fantastiskt. Dock är preampen något brusig när man går över sjuan på inspelningsnivån. Så den fungerar bäst med lättdrivna kondensatormickar eller närmickade dynamiska.

Ina och Ulf spelar radioteater i ett avsnitt vi gjorde i samarbete med SIG Security. Mickarna är två stycken AKG C1000.

Mikrofonerna ett och två: AKG C1000

Kondensatormickar förr i tiden var dyra och det fanns få som var bra i det billigare segmentet. C1000 var en av de första semi-proffsmickarna av kondensatortyp som var riktig vettiga enligt min åsikt. De är något av ett tveeggat svärd, då de är känsliga, lättdrivna, låter mycket bra men kan även distordera vid närmickning.

Mattias och jag sitter framför varsin sådan när vi pratar.

Mikrofon tre: Shure SM58

Shure SM58 är mikrofonernas Volvo. En duglig och vettig sådan som i sin design är okänslig, trubbig och är rätt medioker på att återge detaljer. Men för tal fungerar den pålitligt. Den kompenserar för ”proximity effekten”, alltså basökningen när man närmickar. Detta fungerar dock inte så bra i verkligheten, så man får ta med det i beräkningarna när man processar ljudet.

Det går att höra i en del avsnitt när vi är fler än två att den som får SM58an låter något mer bullrig och har en högre medelnivå på signalstyrkan på talet. Hint: det är oftast jag eller Mattias som använder den för att gästerna ska ha samma förutsättningar.

Pengar börjar nu komma in till podden och så, men vi vet att inte slösa. Så dessa mickar, som är mina privata, får vara kvar då de fungerar bra och är pålitliga.

Redigering

Såhär kan det se ut hemma hos mig när jag ensam gör program eller intervjuar någon via videochatt. När Mattias är med sitter vi i vardagsrummet. Och när vi intervjuar andra hittar vi alltid någon vettig lokal att köra från.

Det finns många program för ljudredigering därute, men vi spelar ju in allting på Zoom-bandspelaren och för sedan över det till min bärbara där redigeringen sedan sker. Jag kan även göra det mesta jobbet via min stationära hemma.

Offline-metoden att skapa programmen gör att man aldrig gör ett slutgiltigt beslut. Skulle jag vilja göra om ett avsnitt eller så i framtiden, kan jag göra om allting utan att behöva bry mig om hur filter och effekter lades på vid förra redigeringen. Alla originalfiler redigeras icke-destruktivt och mastras till en .wav och en .mp3-fil. Så om någon vill ha ett utdrag, kan jag alltid ge dem möjligheten att själva bestämma slutresultatet.

Kravet på ett ljudprogram där man offlineredigerar är inte så stora, så gratisprogrammet Audacity räcker för oss. Dyrare program gör det ofta möjligt att spela in flera kanaler samtidigt direkt i datorn med effekter pålagda i realtid. Men vi jobbar ju inte så…

Att skapa ljud är att veta i förväg hur det ska låta. Jag är en radionörd och lyssnar ofta på Sverige Radios ljud och försöker hitta inspiration för hur det ska låta. De har bra mycket bättre utrustning än vad vi kan drömma om, men det går att gissa hur de tänker och ta efter. Men givetvis blir det inte samma ljud. Jag tror tricket är närmickning, mycket limitering, peta på lite mer diskant och försöka se till att ljudnivåerna jämna och starka så att podden hörs bra i bilen eller i mobilen på tunnelbanan. Detta gör att jag offrar klarhet, dynamik och korrekt röståtergivning för kraft, intensitet och närhet i ljudet. Men ibland gör det faktum att vi alltid är mobila det svårt att få studiokänsla i ljudet. Det ligger i sakens natur. Dock är jag noggrann med att det alltid ska låta så bra att man kan leva med lite ”på fältet-känsla” med rumsakustik och bakgrundsljud.

Processning

Audacity… Ett program som har fräckheten att vara gratis och dessutom hyggligt bra. Var är världen påväg månne?

Innan redigeringen börjar jag med att lägga till vinjetten och justera starten på talet så den hamnar korrekt i slutet av den. Sedan går jag på varje deltagares kanal och går igenom följande steg tills alla deltagarnas röster låter bra:

Steg 1 – Upplättning av diskanten

Det blir lätt burkigt ljud när man spelar in. Jag lättar upp diskanten med några dB för att få en bättre ljudbild. Detta gör att rösterna blir ”piggare”. När jag lyssnar på andra poddar, märker jag de inte verkar göra detta. Det gör att vi låter bättre och mer professionella. Men det är inte gratis, denna ökning skapar en tendens till skarpa S-ljud. Mer om hur vi fixar detta lite senare.

Steg 2 – Limitering / komprimering

Ljudkurvorna ovan visar ljudstyrkan i Y-axeln och tiden i X-axeln. Högre staplar = starkare ljud.

Jag börjar med originalljudet från bandspelaren (A), komprimerar sedan det så man minskar skillnaden mellan de svaga och starka delarna av ljudet och plattar således till topparna (B). Till sist normaliserar jag ljudet för att kompensera för de förlorade topparna (trycker upp ljudpaketet). Resultatet blir ett ljud med större kraft, intensitet och som även hörs bra när man lyssnar på det i en brusig miljö. (C).

Ok, låt mig förklara. Komprimering av ljud har ingenting med Mp3-filer och sånt göra, det är i sig en annan sak som också kallas komprimering. Det jag pratar om är när man minskar skillnaden mellan de starka och de svaga partierna i ljudet. Man trycker som sagt ihop det. I extremfall skulle man kunna säga att en hårnål som slår i golvet och en atombomb som briserar skulle kunna låta lika högt i dina hörlurar. ”Loudness wars” dök upp när ljudtekniker som mastrade musik för CD-skivor hårdkomprimerade ljudet för att det skulle låta starkare och ge mer tryck i högtalarna eller överrösta andra källor. Det pratades också om att låga inspelningsnivår på ett digitalt media ledde till problem med upplösningen av ljudet med kvantiseringsbrus och anti-aliasing som följd. Detta är inom rimliga nivåer rent nys, anser jag.

Audiofiler HATAR ljudkomprimering. Limitering är en mycket kraftig komprimering som kan skapa mycket problem med dynamiken. Och the ”Loudness wars” är en stor källa till ilska bland audiofiler som anser att det förstörde CD-skivan på 90-talet.

Men radion älskar kompressorer och limiters. Dessa gör att en bra röst kan dåna över FM-radions brus, kortvågens atmosfäriska störningar eller andra situationer där signalen är tvungen att höras bra. IT-säkerhetspodden är inspelad och mastrad som den vore en riktig radiostation eftersom det är så jag lärt mig göra det. Vi har ofta en märkbart högre ljudnivå än de flesta andra poddarna jag jämför med och många Youtube-klipp. Detta kommer med konsekvensen att vi inte alltid låter lika rent, naturligt och äkta. Uppoffringen är lätt att göra, för att jag anser att det är precis så jag VILL att det ska låta.

Steg 3 – Normalisering / DC offset

Direkt efter limitering är ljudet alltid lägre än innan. Om jag minskar topparna, kommer ”ljudpaketet” att bli tätare när de försvinner. Normaliseringen höjer sedan det kvarvarande ljudet så dess högsta delar går upp till den högsta möjliga ljudnivå som är möjlig. På detta sätt trycker vi först ihop ljudet och sedan skruvar vi upp det så långt det går så att signalförlusten försvinner. Resultatet blir ett intensivare ljud som ”ligger på topp”.

DC-justeringen ser till att korrigera om signalen är förskjuten på grund av på grund av en felaktig likspänningsnivå. Detta är sällan ett problem, men bra att göra.

Steg 4 – De-essing med Soothe2

Såhär ser Soothe2 ut. Den kan ställas in för alla möjliga typer av ljudbehandling.

Minns du att jag skrev att S-ljuden blir starkare efter min ökning av diskanten? Detta kan vara otrevligt att lyssna på. Fenomenet kallas på Engelska för ”sibilance”. Så vi måste hantera detta. Fram tills för några veckor sedan kunde vi inte göra så mycket åt det, så vi fick vara försiktiga med att öka diskanten för mycket. Då köpte jag programmet Soothe2, en multibandskompressor i mjukvara med profiler för en hel del intressanta effekter. Bland annat ett antal de-essers.

En de-esser är enkelt uttryckt en kompressor/limiter som arbetar på en mycket begränsad del av ljudet. Man trycker bara ner det runt just de frekvenser där s-ljudet ligger. Detta gör att talet inte blir så vasst.

Denna process håller jag på att förfina just nu. De-essing infördes första gången på avsnittet #80 – Säkerhet kring utdöd teknik.

Steg 5 – Hantering av rumsakustiken och min tunga andning

Här sitter Mattias i mitt vardagsrum och går igenom manuset inför att vi ska börja spela in. Kaffet flödar och tankarna koncentreras.

Alla rum som inte är byggda som studios har en rumsakustik. Om väggarna är raka (vilket de är i normala rum), studsar ljudet mellan dem och det bildas en stående våg. Vi har ju ingen studio och vi är inte alltid samma lokal. Så en viss rumsakustik är att vänta. Närmickning och att mickarna har en tillsats som ger dem en smalar upptagningszon (”Karaktäristik”) minskar problemet i någon mån.

I och med att varje mikrofon har en egen kanal som blir en egen ljudfil i bandspelaren, kan man filtrera ut den kanal som inte används för stunden. Detta minskar rummets inverkan ordentligt. Jag har en tung andning som kräver att jag tystar min mikrofon när jag inte talar. Detta gör jag i efterredigeringen och har ännu inte kommit på hur man automatiserar det på ett tillförlitligt sätt. Så detta är nog den delen som tar längst tid att genomföra.

Steg 6 – Tätning av pratet: hur man får en rappare konversation

Tänk att du lyssnar på ett avsnitt av IT-säkerhetspodden och diskussionen går såhär:

Erik: – ”Om man tänker på …. ehh….. hur … vad heter det nu …. hur … hur … Burp suite kan användas för att göra SQL-injekti…. injections… snabbare att hitta, måste man förstå att konceptuellt sett…”

Mattias: – ”Alltså du tänker på … hur … man … alltså .. kan … göra det mer … eh…”.

Erik: – ”Automatiskt?”

Mattias: – ”Just det… Kan man då säga att det blir mer … mer tillför…eh…litligt”

Såhär skulle en konversation kunna låta i ett program och det är normalt. Och till viss del måste det ju få göra det – ingen pratar i skriftspråk. Men det är ändå en viss fördröjning mellan ord när vi försöker komma på hur meningen bör avslutas eller letar efter lämpliga ord.

Beroende på trötthetsgrad, stress och hur våra diskussioner ofta kan komma in på sidospår som vi inte förberett för, blir det ibland lite för mycket stapplande eller letande efter hur vi ska uttrycka oss. Och det kan till sist bli irriterande att lyssna på.

Förut klippte jag enbart uppenbara omtagningar eller extremt långa pauser. Nu lägger jag ner på tid att klippa i meningar och mellan dem för att få dem rappare och ta bort tunga inadningar och onödiga repetitioner.

Detta är svårt, då det ibland rent av inte går. Om man tar bort ord mitt i en mening kan talrytmen bli fel. Det låter helt enkelt bara konstigt. Om någon uttalar ett ord fel två gånger på rak, gör de ofta därefter en djup inandning och lägger sedan kraft på ordet den tredje gången för att i ren irritation få till det rätt. Klipper man bort de första två felaktiga uttalen, blir meningen mycket märklig. Det blir som personen helt plötsligt SKRIKER ut ett ord mitt i en mening.

Så ofta klipper jag till ljudet, lyssnar och rättar klipp-punkterna tills det låter naturligt. Går inte det, får det vara kvar i oförändrat skick.

Pauser kortas också ned för att vi blixtsnabbt ska svara varandra i inledningen där det inte låter som vi konverserar. Därefter får konversationen gärna låta mer som just en sådan. Det finns ingen metod att göra det rätt, utan bara att lyssna… lyssna… lyssna… Känns det för det mesta som en ”skjutjärnsdiskussion”, är det perfekt klippt.

En noggrann lyssning

Därefter tar jag paus för att vila hörseln. Sedan lyssnar jag på programmet i sin helhet. Detta gör jag ofta med en JBL bluetooth-högtalare jag har. Denna är inte korrekt i sin ljudåtergivning men tänkt för att demonstrera hur det kan tänkas låta i någons bilstereo eller annan ”smart-speaker”.

I detta läge tar jag också noteringar om saker vi säger som kanske bör föklaras mer noggrannt i våra show notes. Jag noterar även problem med ljudet och kanske brister i samtalet eller i värsta fall en felsägning eller inkorrekt fakta. Jag försöker också sätta mig in i hur en lyssnare kan tänkas förstå vad vi säger. Är vi tillräckligt tydliga? Kan man missförstå oss?

Det är mycket ovanligt att det uppstår en situation när jag måste gå in och klippa om i programmet eller rätta något. Men en del hamnar i show notes.

Mastring

Det har hänt en del sedan George Martins dagar… Men han fick leva tillräckligt länge för att själv se det, denna legend som gav Beatles en del av sitt sound.

Att ”mastra” är att skapa en färdig processad och redigerad inspelning och lagra den i en form redo för produktion av t.ex. vinylskivor eller CD-skivor. i vårt fall handlar det istället om att skapa ljudfiler och lägga upp dem på nätet.

Jag skapar alltid en .wav-fil i full ljudkvalité och en .mp3-fil med CBR Stereo 192 kbps 48 KHz eftersom det sistnämda är vad vi lägger upp för lyssning. MP3-filen blir normalt runt 20-40 MB beroende på längden på programmet.

Vi har ett konto på Libsyn där vi laddar upp filen och skapar ett nytt avsnitt. Detta schemalägger vi sedan till lämpligt datum efter att vi lagt upp en beskrivande text och en bild. Bilderna skapar Mattias som oftast även skriver beskrivningstexten.

När tiden instundat, trycker Libsyn ut ljudfilen med bilden inbäddad på alla tjänster där man kan nå den som t.ex. YouTube, Soundcloud m.fl. Många tjänster accepterar inte några filer utan bara ett RSS-feed (en textfil kan man säga) där man talar om att det finns ett nytt avsnitt och var man kan ladda ner filen från Libsyns Content Delivery Network. Tjänster som Itunes, Podbean, TuneIn, Spotify och liknande fungerar så och Libsyn fixar även detta.

Slutsats

Det kanske låter märkligt men varje avsnitt tar i genomsnitt tio timmar att producera från planering tills att det ligger ute. I detta ligger bokning av gäster, lokaler, resor, manusskrivning, själva inspelningen, fotografering, redigering, kontrolllysning, skapande av bilder för illustrationer, skrivande av beskrivningar, skapande av show notes och publicering på sociala media.

Sen tillkommer hemsidedesign, kommunikation med lyssnare, lyssna på våra ”konkurrenter”, läsa om om allt som händer på säkerhetssidan, planera kommande poddavsnitt, svettigt läsande och behandlande av lyssnarstatistik. Även fundera på trender, försöka förstå varför vi ökar eller minskar i lyssning och läsa på om poddteknik rent allmänt.

Därutöver åker jag och Mattias ibland ut och föreläser på IT-säkerhetsämnet på diverse seminarier eller gör recensioner av säkerhetslösningar. Vi arbetar även båda på Nordlo Improve med IT-säkerhet och utvecklar tillsammans ett kommande system för automatiserad server- och klientdokumentation i vårt egna företag MoleAnt AB.

Ljudskapande är en viktig bit i det hela för att låta så bra som vi kan givet våra förutsättningar och det är något som tas på blodigt allvar!

Tips: här är en guide i just Ljudteknik jag skrev på den tiden Metusalem gick på jorden.

13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

6 juni, 2020

Show Notes för 79 – Anonym med Tor och Tails

Effekten av att norpa första bildresultatet från Google när man söker på ”Tails”. Kanske ändå rätt ok, givet att han är någon form av räv. Typ Firefox alltså eller nåt?

Avsnittet heter 79 – Anonym med Tor och Tails
Det spelades in 2020-06-06 och lades ut 2020-06-07.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Skulle man bara prata anonym surfning, skulle vi kunna hålla på i timmar. Men om vi väljer ut den lilla tårtbit av anonymisering som heter TOR (The Onion Router) och den vanligaste vägen att använda det, Tails, har vi i alla fall ett väl avgränsad diskussion.

Vi har hållit oss från att dyka allt för djupt i den snåriga djungel som är att vara anonym.

Först en korrigering: Runt 11:10 säger jag att det troligen är mycket svårt att dekryptera en HTTPS-förbindelse på vägen givet att man inte hittar en sårbarhet (eller kan använda ett förfalskat certifikat som webbläsaren litar på). Det är sant förutsatt att man använder HSTS eller lösningar som HTTPS Everywhere. Gör man inte det, kan program som SSLStrip lura browsern att köra i klartext… Eller kunde.. För moderna webbläsare skriker i högan sky om en site inte är krypterad. Så det är nog inte så lätt längre att dekryptera, men för att vara så korrekt som möjligt (Vilket är den önskvärda nivån av korrekthet) bör det ändå påpekas.

En till korrigering: min kritik mot icke-härdade operativsystem skulle kunna tolkas som att Tails alltid är helt säkert, fast det är det ju inte så alls. Men det har mindre attackyta och är därför mycket mer lämpligt för anonymisering än att köra Windows 10 eller, säg, Ubuntu. Bara så det är klart. 🙂

Sen till funderingarna om HTTPS gör det svårare att injicera skadlig kod i en webbläsare. Det är såvitt jag kan se sant, men det finns ju fortfarande siter som inte har HTTPS, och då blir liknande attacker möjliga. De sårbarheter som användes av FoxAcid är sedan länge fixade. Men det är värt att notera att det är en fördröjning av patchningen av FireFox i Tails, eftersom det inte finns en uppdateringsmekanism, utan kräver att Tails uppdateras i sig.

Sen till det där med ”rent mjöl i påsen”. Jag kallade det för en idiotisk debatt, vilket det verkligen är. Men om någon undrar hur jag ser på det hela, finns en längre text skriven av mig här. TLDR: jag avskyr begreppet då det kommer med en outtalad anklagelse mot alla som vill hålla något hemligt, trots att det inte är något annat än den frihet vi alla måste få kräva.

Dock är det uppenbart att TOR-nätverket historiskt visserligen har fungerat men även ofta blivit en väg där underättelsetjänster och andra aktörer hare kunnat fånga folk som de tror har något att dölja.

En lite otäck tanke är att kanske är anonymitet i framtiden enbart en möjlighet om man inte försöker vara det, utan ser till att se ut som alla andra på nätet. Den som vägrar ha en Facebook-sida eller något annat socialt media sticker i och med detta ut själv, vilket är en oroväckande utveckling i sig.

Scroll to top