Författare: Erik Zalitis

9 juli, 2020

Ljudnörderi – hur vi gör podden

Såhär såg jag ut 1994 när jag började min karriär som ljudtekniker. Det fanns ingen närradiostation som jag inte sände från så fort jag fick möjlighet… Däremot blev det aldrig en professionell karriär för mig. Men man vart ju istället rätt hygglig på IT-säkerhet.

Skrivet av Erik Zalitis

”Det finns inga genvägar till det perfekta ljudet” säger ju farbror Barbro, och henom måste ju ha rätt eller hur? Faktum är att jag inte håller med. När man arbetar med ljudteknik, hittar man snabbt just genvägar för att göra att det låter bra och går så effektivt som möjligt att spela in.

Så låt mig berätta exakt hur IT-säkerhetspodden spelar in ljud och ser till att det kommer ut på nätet. Efter detta kommer ni förstå att det är allt annat än att bara sätta upp en mick på ett bord och sedan bara snacka på. Visst kan man göra så, men det blir därefter.

Låt mig därför ta dig med på en berättelse om hur vi spelar in ett avsnitt från när den feta duffelväskan med ljudutrustningen åker fram tills Libsyn publicerar det färdiga avsnittet.

Från vänster till höger: Erik Zalitis, Derek Melber och Mattias Jadesköld. Lokalen är Nordlo Improves lokaler i Kista där jag och Mattias normalt arbetar. Den mobila utrustningen är lätt att sätta upp och vi är snabbt igång var vi än månde vara.

Alltid mobil – alltid redo

Här sitter vi och spelar in den spännande historien om hur företaget AddTech hackades. Det är deras IT-chef som berättar och Kent från Sig Security som medverkar tillsammans med mig och Mattias (längst till höger)

En del poddar har lyxen att ha en studio och andra hyr en. Men vi är alltid mobila. Ge oss ett hyggligt tyst rum och vi är redo att spela in på några minuter. Det har ingen betydelse om det är jag och Mattias eller om vi har en eller flera deltagare.

En del gäster möter vi på deras jobb eller i en lokal som vi fixar fram själva. Andra intervjuas via Teams, Zoom eller annan konferansprogramvara. Detta är mycket vanligt nu i Coronatider.

Duffelväskan innehåller portabla mickstativ, tre mickar, en bandspelare, kablar och hörlurar. Många kopplar mickarna till en dator och lägger på effekter i realtid under inspelningen. Vi gör all processing i efterhand. Så det enda man måste göra under inspelningen är att justera ljudnivåerna och lyssna på att folk hanterar mickarna rätt.

När man rattar ljudet måste man konstant vara redo att korrigera fel som uppstår. Folk riktar sig bort från mickarna, prasslar med papper och fläktar går igång helt plötsligt utan förvarning.

Mattias brukar skämta om hur petig jag är med att folk ska sitta rakt framför mickarna, hålla händerna stilla och inte vrida på sig hela tiden. Om man inte håller pli på alla, går det sen inte att rätta till de störljud som uppstår i efterhand.

Dessutom måste man kompensera för hur folk pratar. Jag har en dynamisk röst som går upp och ner i ljudstyrka. Mattias har en mycket mer jämn röst, men har en tendens att ibland prata vädligt tyst, nästan viska. Sedan drar han in luft i lungorna och tar i så att mätarna går i taket. Man lär sig snart att lyssna efter hur folk pratar och förutsäga hur man ska justera nivåerna. Intervjuoffren är ett värre problem. Man vet inte hur de kommer använda sina röster. Några pratar med samma röstläge hela tiden, medan andra går mellan tordönstämma och tyst som en mus.

En digital ”bandspelare” är också en knepig sak. ”På min tid”, som vi gubbar gillar att säga, var det mesta analogt. En analog bandspelare tål måttlig överstyrning utan att det låter för dåligt. En digital gör det inte. Så fort du når ”nollan”, finns inga fler bitar kvar för att beskriva ljudet och då blir det blixtsnabbt svårt distorderat om man inte drar ner volymen när någon höjer rösten.

Men låt oss tala om utrustningen…

Nutidens Nagra? Detta är bara en i raden av digitala ljudinspelare som mer eller mindre ersatt alla mekaniska bandspelare bland radioreporters och filmskapare.

Bandspelaren: Zoom H6

När vi startade podden, plockade jag fram allting jag hade kvar från mina närradiodagar. Bland annat en digital Fostex Portastudio. Men jag var orolig för att den 16 år gamla maskinen skulle ha problem med sina åldrade CF-Kort och dessutom kändes den fel för ändamålet då den är mer menad för musiker och hade rätt lite spelrum för svårdrivna mickar. Så jag började kolla runt och Zoom H6 blev mitt val. Den är en märklig tingest som har fyra XLR-kontakter för mikrofoner med fantommatning och en mick-preamp med mycket gott headroom. Dessutom kan den expanderas med mickhuvuden eller två extra mikrofon-kontakter. Och den har en tydlig display som kan drivas på batterier och har multikanalinspelning för varje mikrofon. Den är lite dyrare än många andra liknande enheter, och det blev ju något jag fick stå för själv då vi inte hade några pengar för att göra podden. Men den fungerar fantastiskt. Dock är preampen något brusig när man går över sjuan på inspelningsnivån. Så den fungerar bäst med lättdrivna kondensatormickar eller närmickade dynamiska.

Ina och Ulf spelar radioteater i ett avsnitt vi gjorde i samarbete med SIG Security. Mickarna är två stycken AKG C1000.

Mikrofonerna ett och två: AKG C1000

Kondensatormickar förr i tiden var dyra och det fanns få som var bra i det billigare segmentet. C1000 var en av de första semi-proffsmickarna av kondensatortyp som var riktig vettiga enligt min åsikt. De är något av ett tveeggat svärd, då de är känsliga, lättdrivna, låter mycket bra men kan även distordera vid närmickning.

Mattias och jag sitter framför varsin sådan när vi pratar.

Mikrofon tre: Shure SM58

Shure SM58 är mikrofonernas Volvo. En duglig och vettig sådan som i sin design är okänslig, trubbig och är rätt medioker på att återge detaljer. Men för tal fungerar den pålitligt. Den kompenserar för ”proximity effekten”, alltså basökningen när man närmickar. Detta fungerar dock inte så bra i verkligheten, så man får ta med det i beräkningarna när man processar ljudet.

Det går att höra i en del avsnitt när vi är fler än två att den som får SM58an låter något mer bullrig och har en högre medelnivå på signalstyrkan på talet. Hint: det är oftast jag eller Mattias som använder den för att gästerna ska ha samma förutsättningar.

Pengar börjar nu komma in till podden och så, men vi vet att inte slösa. Så dessa mickar, som är mina privata, får vara kvar då de fungerar bra och är pålitliga.

Redigering

Såhär kan det se ut hemma hos mig när jag ensam gör program eller intervjuar någon via videochatt. När Mattias är med sitter vi i vardagsrummet. Och när vi intervjuar andra hittar vi alltid någon vettig lokal att köra från.

Det finns många program för ljudredigering därute, men vi spelar ju in allting på Zoom-bandspelaren och för sedan över det till min bärbara där redigeringen sedan sker. Jag kan även göra det mesta jobbet via min stationära hemma.

Offline-metoden att skapa programmen gör att man aldrig gör ett slutgiltigt beslut. Skulle jag vilja göra om ett avsnitt eller så i framtiden, kan jag göra om allting utan att behöva bry mig om hur filter och effekter lades på vid förra redigeringen. Alla originalfiler redigeras icke-destruktivt och mastras till en .wav och en .mp3-fil. Så om någon vill ha ett utdrag, kan jag alltid ge dem möjligheten att själva bestämma slutresultatet.

Kravet på ett ljudprogram där man offlineredigerar är inte så stora, så gratisprogrammet Audacity räcker för oss. Dyrare program gör det ofta möjligt att spela in flera kanaler samtidigt direkt i datorn med effekter pålagda i realtid. Men vi jobbar ju inte så…

Att skapa ljud är att veta i förväg hur det ska låta. Jag är en radionörd och lyssnar ofta på Sverige Radios ljud och försöker hitta inspiration för hur det ska låta. De har bra mycket bättre utrustning än vad vi kan drömma om, men det går att gissa hur de tänker och ta efter. Men givetvis blir det inte samma ljud. Jag tror tricket är närmickning, mycket limitering, peta på lite mer diskant och försöka se till att ljudnivåerna jämna och starka så att podden hörs bra i bilen eller i mobilen på tunnelbanan. Detta gör att jag offrar klarhet, dynamik och korrekt röståtergivning för kraft, intensitet och närhet i ljudet. Men ibland gör det faktum att vi alltid är mobila det svårt att få studiokänsla i ljudet. Det ligger i sakens natur. Dock är jag noggrann med att det alltid ska låta så bra att man kan leva med lite ”på fältet-känsla” med rumsakustik och bakgrundsljud.

Processning

Audacity… Ett program som har fräckheten att vara gratis och dessutom hyggligt bra. Var är världen påväg månne?

Innan redigeringen börjar jag med att lägga till vinjetten och justera starten på talet så den hamnar korrekt i slutet av den. Sedan går jag på varje deltagares kanal och går igenom följande steg tills alla deltagarnas röster låter bra:

Steg 1 – Upplättning av diskanten

Det blir lätt burkigt ljud när man spelar in. Jag lättar upp diskanten med några dB för att få en bättre ljudbild. Detta gör att rösterna blir ”piggare”. När jag lyssnar på andra poddar, märker jag de inte verkar göra detta. Det gör att vi låter bättre och mer professionella. Men det är inte gratis, denna ökning skapar en tendens till skarpa S-ljud. Mer om hur vi fixar detta lite senare.

Steg 2 – Limitering / komprimering

Ljudkurvorna ovan visar ljudstyrkan i Y-axeln och tiden i X-axeln. Högre staplar = starkare ljud.

Jag börjar med originalljudet från bandspelaren (A), komprimerar sedan det så man minskar skillnaden mellan de svaga och starka delarna av ljudet och plattar således till topparna (B). Till sist normaliserar jag ljudet för att kompensera för de förlorade topparna (trycker upp ljudpaketet). Resultatet blir ett ljud med större kraft, intensitet och som även hörs bra när man lyssnar på det i en brusig miljö. (C).

Ok, låt mig förklara. Komprimering av ljud har ingenting med Mp3-filer och sånt göra, det är i sig en annan sak som också kallas komprimering. Det jag pratar om är när man minskar skillnaden mellan de starka och de svaga partierna i ljudet. Man trycker som sagt ihop det. I extremfall skulle man kunna säga att en hårnål som slår i golvet och en atombomb som briserar skulle kunna låta lika högt i dina hörlurar. ”Loudness wars” dök upp när ljudtekniker som mastrade musik för CD-skivor hårdkomprimerade ljudet för att det skulle låta starkare och ge mer tryck i högtalarna eller överrösta andra källor. Det pratades också om att låga inspelningsnivår på ett digitalt media ledde till problem med upplösningen av ljudet med kvantiseringsbrus och anti-aliasing som följd. Detta är inom rimliga nivåer rent nys, anser jag.

Audiofiler HATAR ljudkomprimering. Limitering är en mycket kraftig komprimering som kan skapa mycket problem med dynamiken. Och the ”Loudness wars” är en stor källa till ilska bland audiofiler som anser att det förstörde CD-skivan på 90-talet.

Men radion älskar kompressorer och limiters. Dessa gör att en bra röst kan dåna över FM-radions brus, kortvågens atmosfäriska störningar eller andra situationer där signalen är tvungen att höras bra. IT-säkerhetspodden är inspelad och mastrad som den vore en riktig radiostation eftersom det är så jag lärt mig göra det. Vi har ofta en märkbart högre ljudnivå än de flesta andra poddarna jag jämför med och många Youtube-klipp. Detta kommer med konsekvensen att vi inte alltid låter lika rent, naturligt och äkta. Uppoffringen är lätt att göra, för att jag anser att det är precis så jag VILL att det ska låta.

Steg 3 – Normalisering / DC offset

Direkt efter limitering är ljudet alltid lägre än innan. Om jag minskar topparna, kommer ”ljudpaketet” att bli tätare när de försvinner. Normaliseringen höjer sedan det kvarvarande ljudet så dess högsta delar går upp till den högsta möjliga ljudnivå som är möjlig. På detta sätt trycker vi först ihop ljudet och sedan skruvar vi upp det så långt det går så att signalförlusten försvinner. Resultatet blir ett intensivare ljud som ”ligger på topp”.

DC-justeringen ser till att korrigera om signalen är förskjuten på grund av på grund av en felaktig likspänningsnivå. Detta är sällan ett problem, men bra att göra.

Steg 4 – De-essing med Soothe2

Såhär ser Soothe2 ut. Den kan ställas in för alla möjliga typer av ljudbehandling.

Minns du att jag skrev att S-ljuden blir starkare efter min ökning av diskanten? Detta kan vara otrevligt att lyssna på. Fenomenet kallas på Engelska för ”sibilance”. Så vi måste hantera detta. Fram tills för några veckor sedan kunde vi inte göra så mycket åt det, så vi fick vara försiktiga med att öka diskanten för mycket. Då köpte jag programmet Soothe2, en multibandskompressor i mjukvara med profiler för en hel del intressanta effekter. Bland annat ett antal de-essers.

En de-esser är enkelt uttryckt en kompressor/limiter som arbetar på en mycket begränsad del av ljudet. Man trycker bara ner det runt just de frekvenser där s-ljudet ligger. Detta gör att talet inte blir så vasst.

Denna process håller jag på att förfina just nu. De-essing infördes första gången på avsnittet #80 – Säkerhet kring utdöd teknik.

Steg 5 – Hantering av rumsakustiken och min tunga andning

Här sitter Mattias i mitt vardagsrum och går igenom manuset inför att vi ska börja spela in. Kaffet flödar och tankarna koncentreras.

Alla rum som inte är byggda som studios har en rumsakustik. Om väggarna är raka (vilket de är i normala rum), studsar ljudet mellan dem och det bildas en stående våg. Vi har ju ingen studio och vi är inte alltid samma lokal. Så en viss rumsakustik är att vänta. Närmickning och att mickarna har en tillsats som ger dem en smalar upptagningszon (”Karaktäristik”) minskar problemet i någon mån.

I och med att varje mikrofon har en egen kanal som blir en egen ljudfil i bandspelaren, kan man filtrera ut den kanal som inte används för stunden. Detta minskar rummets inverkan ordentligt. Jag har en tung andning som kräver att jag tystar min mikrofon när jag inte talar. Detta gör jag i efterredigeringen och har ännu inte kommit på hur man automatiserar det på ett tillförlitligt sätt. Så detta är nog den delen som tar längst tid att genomföra.

Steg 6 – Tätning av pratet: hur man får en rappare konversation

Tänk att du lyssnar på ett avsnitt av IT-säkerhetspodden och diskussionen går såhär:

Erik: – ”Om man tänker på …. ehh….. hur … vad heter det nu …. hur … hur … Burp suite kan användas för att göra SQL-injekti…. injections… snabbare att hitta, måste man förstå att konceptuellt sett…”

Mattias: – ”Alltså du tänker på … hur … man … alltså .. kan … göra det mer … eh…”.

Erik: – ”Automatiskt?”

Mattias: – ”Just det… Kan man då säga att det blir mer … mer tillför…eh…litligt”

Såhär skulle en konversation kunna låta i ett program och det är normalt. Och till viss del måste det ju få göra det – ingen pratar i skriftspråk. Men det är ändå en viss fördröjning mellan ord när vi försöker komma på hur meningen bör avslutas eller letar efter lämpliga ord.

Beroende på trötthetsgrad, stress och hur våra diskussioner ofta kan komma in på sidospår som vi inte förberett för, blir det ibland lite för mycket stapplande eller letande efter hur vi ska uttrycka oss. Och det kan till sist bli irriterande att lyssna på.

Förut klippte jag enbart uppenbara omtagningar eller extremt långa pauser. Nu lägger jag ner på tid att klippa i meningar och mellan dem för att få dem rappare och ta bort tunga inadningar och onödiga repetitioner.

Detta är svårt, då det ibland rent av inte går. Om man tar bort ord mitt i en mening kan talrytmen bli fel. Det låter helt enkelt bara konstigt. Om någon uttalar ett ord fel två gånger på rak, gör de ofta därefter en djup inandning och lägger sedan kraft på ordet den tredje gången för att i ren irritation få till det rätt. Klipper man bort de första två felaktiga uttalen, blir meningen mycket märklig. Det blir som personen helt plötsligt SKRIKER ut ett ord mitt i en mening.

Så ofta klipper jag till ljudet, lyssnar och rättar klipp-punkterna tills det låter naturligt. Går inte det, får det vara kvar i oförändrat skick.

Pauser kortas också ned för att vi blixtsnabbt ska svara varandra i inledningen där det inte låter som vi konverserar. Därefter får konversationen gärna låta mer som just en sådan. Det finns ingen metod att göra det rätt, utan bara att lyssna… lyssna… lyssna… Känns det för det mesta som en ”skjutjärnsdiskussion”, är det perfekt klippt.

En noggrann lyssning

Därefter tar jag paus för att vila hörseln. Sedan lyssnar jag på programmet i sin helhet. Detta gör jag ofta med en JBL bluetooth-högtalare jag har. Denna är inte korrekt i sin ljudåtergivning men tänkt för att demonstrera hur det kan tänkas låta i någons bilstereo eller annan ”smart-speaker”.

I detta läge tar jag också noteringar om saker vi säger som kanske bör föklaras mer noggrannt i våra show notes. Jag noterar även problem med ljudet och kanske brister i samtalet eller i värsta fall en felsägning eller inkorrekt fakta. Jag försöker också sätta mig in i hur en lyssnare kan tänkas förstå vad vi säger. Är vi tillräckligt tydliga? Kan man missförstå oss?

Det är mycket ovanligt att det uppstår en situation när jag måste gå in och klippa om i programmet eller rätta något. Men en del hamnar i show notes.

Mastring

Det har hänt en del sedan George Martins dagar… Men han fick leva tillräckligt länge för att själv se det, denna legend som gav Beatles en del av sitt sound.

Att ”mastra” är att skapa en färdig processad och redigerad inspelning och lagra den i en form redo för produktion av t.ex. vinylskivor eller CD-skivor. i vårt fall handlar det istället om att skapa ljudfiler och lägga upp dem på nätet.

Jag skapar alltid en .wav-fil i full ljudkvalité och en .mp3-fil med CBR Stereo 192 kbps 48 KHz eftersom det sistnämda är vad vi lägger upp för lyssning. MP3-filen blir normalt runt 20-40 MB beroende på längden på programmet.

Vi har ett konto på Libsyn där vi laddar upp filen och skapar ett nytt avsnitt. Detta schemalägger vi sedan till lämpligt datum efter att vi lagt upp en beskrivande text och en bild. Bilderna skapar Mattias som oftast även skriver beskrivningstexten.

När tiden instundat, trycker Libsyn ut ljudfilen med bilden inbäddad på alla tjänster där man kan nå den som t.ex. YouTube, Soundcloud m.fl. Många tjänster accepterar inte några filer utan bara ett RSS-feed (en textfil kan man säga) där man talar om att det finns ett nytt avsnitt och var man kan ladda ner filen från Libsyns Content Delivery Network. Tjänster som Itunes, Podbean, TuneIn, Spotify och liknande fungerar så och Libsyn fixar även detta.

Slutsats

Det kanske låter märkligt men varje avsnitt tar i genomsnitt tio timmar att producera från planering tills att det ligger ute. I detta ligger bokning av gäster, lokaler, resor, manusskrivning, själva inspelningen, fotografering, redigering, kontrolllysning, skapande av bilder för illustrationer, skrivande av beskrivningar, skapande av show notes och publicering på sociala media.

Sen tillkommer hemsidedesign, kommunikation med lyssnare, lyssna på våra ”konkurrenter”, läsa om om allt som händer på säkerhetssidan, planera kommande poddavsnitt, svettigt läsande och behandlande av lyssnarstatistik. Även fundera på trender, försöka förstå varför vi ökar eller minskar i lyssning och läsa på om poddteknik rent allmänt.

Därutöver åker jag och Mattias ibland ut och föreläser på IT-säkerhetsämnet på diverse seminarier eller gör recensioner av säkerhetslösningar. Vi arbetar även båda på Nordlo Improve med IT-säkerhet och utvecklar tillsammans ett kommande system för automatiserad server- och klientdokumentation i vårt egna företag MoleAnt AB.

Ljudskapande är en viktig bit i det hela för att låta så bra som vi kan givet våra förutsättningar och det är något som tas på blodigt allvar!

Tips: här är en guide i just Ljudteknik jag skrev på den tiden Metusalem gick på jorden.

13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

6 juni, 2020

Show Notes för 79 – Anonym med Tor och Tails

Effekten av att norpa första bildresultatet från Google när man söker på ”Tails”. Kanske ändå rätt ok, givet att han är någon form av räv. Typ Firefox alltså eller nåt?

Avsnittet heter 79 – Anonym med Tor och Tails
Det spelades in 2020-06-06 och lades ut 2020-06-07.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Skulle man bara prata anonym surfning, skulle vi kunna hålla på i timmar. Men om vi väljer ut den lilla tårtbit av anonymisering som heter TOR (The Onion Router) och den vanligaste vägen att använda det, Tails, har vi i alla fall ett väl avgränsad diskussion.

Vi har hållit oss från att dyka allt för djupt i den snåriga djungel som är att vara anonym.

Först en korrigering: Runt 11:10 säger jag att det troligen är mycket svårt att dekryptera en HTTPS-förbindelse på vägen givet att man inte hittar en sårbarhet (eller kan använda ett förfalskat certifikat som webbläsaren litar på). Det är sant förutsatt att man använder HSTS eller lösningar som HTTPS Everywhere. Gör man inte det, kan program som SSLStrip lura browsern att köra i klartext… Eller kunde.. För moderna webbläsare skriker i högan sky om en site inte är krypterad. Så det är nog inte så lätt längre att dekryptera, men för att vara så korrekt som möjligt (Vilket är den önskvärda nivån av korrekthet) bör det ändå påpekas.

En till korrigering: min kritik mot icke-härdade operativsystem skulle kunna tolkas som att Tails alltid är helt säkert, fast det är det ju inte så alls. Men det har mindre attackyta och är därför mycket mer lämpligt för anonymisering än att köra Windows 10 eller, säg, Ubuntu. Bara så det är klart. 🙂

Sen till funderingarna om HTTPS gör det svårare att injicera skadlig kod i en webbläsare. Det är såvitt jag kan se sant, men det finns ju fortfarande siter som inte har HTTPS, och då blir liknande attacker möjliga. De sårbarheter som användes av FoxAcid är sedan länge fixade. Men det är värt att notera att det är en fördröjning av patchningen av FireFox i Tails, eftersom det inte finns en uppdateringsmekanism, utan kräver att Tails uppdateras i sig.

Sen till det där med ”rent mjöl i påsen”. Jag kallade det för en idiotisk debatt, vilket det verkligen är. Men om någon undrar hur jag ser på det hela, finns en längre text skriven av mig här. TLDR: jag avskyr begreppet då det kommer med en outtalad anklagelse mot alla som vill hålla något hemligt, trots att det inte är något annat än den frihet vi alla måste få kräva.

Dock är det uppenbart att TOR-nätverket historiskt visserligen har fungerat men även ofta blivit en väg där underättelsetjänster och andra aktörer hare kunnat fånga folk som de tror har något att dölja.

En lite otäck tanke är att kanske är anonymitet i framtiden enbart en möjlighet om man inte försöker vara det, utan ser till att se ut som alla andra på nätet. Den som vägrar ha en Facebook-sida eller något annat socialt media sticker i och med detta ut själv, vilket är en oroväckande utveckling i sig.

31 maj, 2020

Show Notes för #78 – Digitalisering

En sammanbiten min, som bara den som har sett framtidens IT-säkerhet i en allt mer sammankopplad värld, kan ha. Det är en spännande och skrämmande verklighet och vi kan inte fly den.

Avsnittet heter 78 – Digitalisering
Det spelades in 2020-05-18 och lades ut 2020-05-31.
Deltagare: Mattias Jadesköld, Erik Zalitis och Pernilla Rönn.
Show notes skrivna av Erik Zalitis.

Detta är ett samarbete med SIG Security.

”Må du leva i spännande tider” sägs vara ett citat med gamla Kinesiska anor. Detta är troligen inte alls historiskt korrekt, men i talesättet ligger en del mörker. Det ska enligt vad jag förstått var en förtäckt önskan om olycka till en fiende. Hur det än är med den saken, lever vi faktiskt i ”spännande” tider och framtiden är både en stor möjlighet och ett stort hot.

Pernilla Rönn, som började sin karriär i branschen 1994, höll nyligen föredraget ”THE DIGITAL TRANSFORMATION SETS NEW REQUIREMENTS ON CYBER SECURITY” för SIG Security och här berättar hon om vilka utmaningar vi står inför när vi får den uppkopplade staden där allting står i ständig kommunikation med allting annat. Vad är då kraven på vår Cybersäkerhet när detta nu börjar hända?

Den digitala staden – påminner om Super Pipeline.

Det handlar egentligen om just vilka krav den nya digitala transformationen ställer på oss och samhället och givetvis hur de möjliggör en säkrare framtid.

Det är rätt självklart att alla involverade organisationer måste tänka om och modernisera sitt arbetssätt. Ordet för dagen är ”DevSecOp” som jag kallar för ”an army of one”, med en liten nickning till USAs arme som har just detta motto. Pernilla menar att alla i hela organisationen måste arbeta med säkerhet, vilket kommer få den där utpekade säkerhetsavdelningen att på sikt i någon mån faktiskt försvinna.

1994 när hon började, var medvetenheten om IT-säkerhet låg och det var i stora drag inte ens en fråga.

Länkar

SIG Security, vår eminenta samarbetspartner:
https://www.sigsecurity.org/

Hennes föredrag (tyvärr, ni har missat det!):
https://www.sigsecurity.org/fokus-kvall-21-4-virtuell-den-digitala-transformationen-staller-nya-krav-pa-cybersakerheten-risker-och-mojligheter-med-det/

23 maj, 2020

Show Notes för #77 – Säkerhetsläget med mySafety

(från vänster) PA Prabert, Mattias Jadesköld och Erik Zalitis. Inte i bild: alla IT-säkerhetsproblem på Internet och brottslingarna som snor din identitet.

Avsnittet heter 77 – Säkerhetsläget med mySafety
Det spelades in 2020-05-15 och lades ut 2020-05-24.
Deltagare: Mattias Jadesköld, Erik Zalitis och PA Prabert.
Show notes skrivna av Erik Zalitis.

Det är ju ett återkommande citat från mig att ”detta är det sämsta året hittills … åtminstone fram till nästa år”. Och attackerna ökar hela tiden. Men faktum är att den senaste rapporten från mySafety visar på en mer nyanserad bild där förra året har sett en liten minskning av vissa brott. Så vad är på gång?

Denna gång får ni ett sponsrat avsnitt där vi och försäkringsbolaget mySafety går igenom slutsatserna man dragit och hur man kan skydda sig mot dessa id-kapningar.

Mattias frågar ”hur skrämmande är det?”. Svaret är att två miljoner Svenskar varje år utsätts för någon form av försök till id-brott och av dessa lyckas 10% av dem på något sätt.

Åldringar är särskilt utsatta visar det sig, men detta innebär inte att andra är säkra. Faktum är att brottslingarna visat sig vara mästare på den typ av social ingenjörskonst som krävs för att lura till och med den mest skeptiska person. De är proffs på vad de håller på med. Och den som står med skammen att ha blivit lurad, vill ofta inte prata om det. Jag frågade om inte detta gynnar bedragarna, och PA säger att det tyvärr är så.

Länkar

MySafety
https://www.mysafety.se/

Deras rapport, som kom ut 2020-06-04:
https://www.mysafety.se/sites/default/files/mysafety_ID-kapn.rapport_maj_2020_web_0.pdf

16 maj, 2020

Show Notes för #76 – DANE, eller hur vi löser tillit i framtiden

IT-säkerhetspodden, c’est moi… I alla fall denna gång. Mattias är annorstädes, men kommer givetvis tillbaka till podden nästa vecka. Den som har flest skärmar när han dör, vinner…

Avsnittet heter #76 – DANE, eller hur vi löser tillit i framtiden?
Det spelades in 2020-05-16 och lades ut 2020-05-17.
Deltagare: Erik Zalitis
Show notes skrivna av Erik Zalitis.

Så var man alltså ensam denna gång och avsnittet blev ju därför hälften av både mantalet och längden. Men ämnet ligger i luften och idag handlar det om DANE (DNS-based Authentication of Named Entities).

Som jag sa i avsnittet förmår inte längre CAs (certificate authorities) längre garantera att utgivaren av certifikatet verkligen gjort sitt jobb och kollat den som beställde certifikatet innan de utfärdade det. Ett problem DANE kan lösa genom att låta den som driver sin DNS själv gå i god för den.

DANE ser till att:

  • Kryptering nu är obligatoriskt och inte ”om möjligt” som med t.ex. opportunistisk kryptering.
  • Man kan lita på att tjänsten hör till domänen och att utgivaren är den som kontrollerar den.

Och genom att kräva DNSSEC, blir det svårt för en hackare att styra om domänen och ta över den. Är det dock möjligt? Om en hackare kan ta kontroll över en organisations DNS och sedan ändra i både DANE-posterna och pekaren till en webbserver de styr, är det då inte kört i alla fall? Kanske, men det är en ganska komplicerad sak att göra, vilket är själva grejen. Ju fler kontroller som måste bekämpas, desto mindre sannolikhet är att det lyckas.

Länkar

En jämförelse mellan diverse teknologier som finns idag för epost:
https://certified-senders.org/wp-content/uploads/2020/02/Email-Transport-Encryption-STARTTLS-vs.-DANE-vs.-MTA-STS_updated.pdf

Microsofts lägger till DNSSEC och DANE:
https://techworld.idg.se/2.2524/1.733018/exchange-online-dane-dnssec

Vad är DANE?
https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-is-dane/

Steve Gibson skriver om problemet med CAs och har en, nu rätt föråldrad lösning:
https://www.grc.com/fingerprints.htm

En mer iögonfallande bloggpost anför att Dane och DNSSEC är opålitliga eftersom ”myndigheterna” kontrollerar DNSSEC. Vilket är en förklarlig om än paranoid argumentation givet att USAs myndigheter 2015 hade kontroll över t.ex. ICANN:
https://sockpuppet.org/blog/2015/01/15/against-dnssec/

… Fast, hans blogginlägg skrevs ju som sagt 2015, innan Icann slutade vara under USAs kontroll, så det argumentet håller inte längre. Resten av dem är ganska tveksamma också, men för att visa några motargument, kan man i alla fall lära sig något genom att titta igenom sidan.

9 maj, 2020

Show Notes för #75 – Vad kan IT-säkerhetsområdet lära av epidemier?

Anders Sandberg, vår ”go to guy” för situationer som kräver spännande berättelser om precis vad som helst och som gärna får oss att inse hur märklig vår omvärld egentligen är.

Avsnittet heter #75 – Vad kan IT-säkerhetsområdet lära av epidemier?
Det spelades in 2020-05-08 och lades ut 2020-05-10.
Deltagare: Mattias Jadesköld, Erik Zalitis och Anders Sandberg.
Show notes skrivna av Erik Zalitis.

Jag har känt Anders Sandberg sedan 1992 när jag var med på ett föredrag han höll på Unga Forskares så kallade fredagsträffar. Han har en entusiasm som är svår att missa och fascinerar med sin vältalighet, sin djupa kunskap och sin fenomenala pedagogiska förmåga.

Några år senare startade jag och några andra en radiostation där Anders kom att bli en regelbunden gäst som hann göra flera hundra korta och ibland längre diskussioner där han berättade om allt från astronomi till datorer och biologi.

Till skillnad från många på nätet har han genuina kunskaper om epidemiologi och även om IT-säkerhetsvinkeln ibland blir en utmaning för honom, levererar han en fascinerande berättelse som böljar mellan Corona, Spanska sjukan, spridningstalet, evolverande kod, hur lång tid det tar att smitta hela Internet och till sist har jag och Anders två vitt skilda idéer om varför moder jord låter oss var här på den lilla blå planeten vi kallar vårt hem.

Länkar

Här är min artikel om evolutionärt tryck på IT-miljöer som en idé:
https://www.itsakerhetspodden.se/hur-ser-moder-natur-pa-it-sakerhet/

Artikeln jag relaterade till där jag också blir intervjuad:
https://techworld.idg.se/2.2524/1.601350/aporna-som-harjar-bland-netflix-big-data

Hur fungerar flockimmunitet?:
https://fof.se/sites/fof.se/files/sa_funkar_smittornas_matematik.pdf

Kort med kärnfullt på Wikipedian:
https://sv.wikipedia.org/wiki/Basal_reproduktionskvot

Core War:
https://en.wikipedia.org/wiki/Core_War

Anders har pratat hos oss två gånger tidigare

AI, människans bästa eller sämsta uppfinning
https://www.itsakerhetspodden.se/podcast/10-ai-manniskans-basta-eller-samsta-uppfinning/

Kommer vi ha hemligheter i framtiden?
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

2 maj, 2020

Show notes för #74 – Nigeriabrev från fängelset

Om du funderar på att visa chefen fingret på måndag och storma ut ur kontoret för att en Nigeriansk prins vill ge dig massiva mängder pengar, kanske du bör tänka om.

Avsnittet heter #73 – Nigeriabrev från fängelset
Det spelades in 2020-05-01 och lades ut 2020-05-03.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har under den tid vi funnits karvat ut en egen liten nisch för oss själva. Där andra pratar om det absolut senaste som hänt, tittar vi ofta bakåt och funderar på hur vi hamnade där vi nu är nu inom IT-säkerhetsområdet.

Nigeriabrev är en gammal företeelse, som funnits långt före epost blev en grej.

Hope Olusegun Aroke verkar vara en tvättäkta ”kriminell hjärna” som inte låter någon form av hinder stoppa hans framfart. Så honom har vi garanterat inte hört det sista från.

Men har han skickat Nigeriabrev? Det vet vi faktiskt inte. Det står bara om bedrägerier, så det kan han mycket väl ha sysslat med. Därför tar detta avsnitt två spår: det berättar dels om honom och dels om Nigeriabrevet som fenomen.

Nigeriabrev

UC förklarar begreppet.
https://www.minuc.se/id-stold/vad-ar-nigeriabrev

För den som tror att det bara är de okunniga som åker dit på dem.
https://www.aftonbladet.se/nyheter/a/ngWlMm/han-atalas-for-miljardsvindel

Jag anser att girighet snarare än dumhet är förklaringen till att folk blir lurande. Men en mer djuplodande analys finns att läsa här.
https://www.bbc.com/worklife/article/20180727-why-so-many-people-fall-for-scams

Jo, jag sa ju att det är lukrativt nog att dra in mycket pengar så att bedragarna fortfarande vill hålla på med det… och det är det ju…
https://www.cnbc.com/2019/04/18/nigerian-prince-scams-still-rake-in-over-700000-dollars-a-year.html

Spamhaus och spam

Spamhaus ROKSO (Register of Known Spam Operation) visar att antalet ”spamoutfits” numera bara är runt 100 stycken, snarare än de runt 200 de var på den tiden jag var system admin. Kan man tänka sig att de minskat som en effekt av att spam som företeelse inte är lika lukrativt längre?
https://www.spamhaus.org/rokso/

Sanford ”Spamford” Wallace var i fängelse fram tills 2018 och han verkar inte ha hittat något sätt att spamma efteråt, så han har just nu ”indisponibel” för att fortsätta med sitt kall. Men vi lär inte ha hört det sista från honom…
https://en.wikipedia.org/wiki/Sanford_Wallace

Får också be om ursäkt för ett fel i programmet, det var inte Sanford Wallace, utan en annan spammare, Alan Ralsky som fick tonvis med reklamblad per post som en hämnd. Annars stämmer ju historien i sig…
https://www.theregister.com/2002/12/11/spammer_gets_junk_mailed/

Man ska ju kunna backa upp sina påståenden också, och här är en bra graf för att visa att spam-mängden minskar:
https://www.statista.com/statistics/420391/spam-email-traffic-share/

Redan 2015 var det ganska klart att spammens glansdagar var över och det har inte blivit ”bättre” sedan dess:
https://www.bbc.com/news/technology-33564016

(Eller, jo, det har blivit BÄTTRE. Beror på ens perspektiv på saken 🙂 )

För den som undrar vad som hänt, så kan man ju lätt se att spear-phishing och riktade attacker är det som växer i populäritet snarare än spammens breda ”hagelbrakar-spridnings”-metod för att nå ut.

Nigeria

Jag sa också att Nigeria har 150 miljoner invånare, vilket visade sig vara lite gamla uppgifter. 2016 års folkräkning fick det till runt 186 miljoner. Alltså ett mycket stort land sett ur ett befolkningsperspektiv.

Nigeria som land.
https://sv.wikipedia.org/wiki/Nigeria

25 april, 2020

Show notes för #73 – När Hizbollah knäckte Israels radio

Ett exempel på hur en frekvenshoppande sändning kan se ut på ett ”vattenfallsdiagram” i ett program som matas av en SDR-mottagare.

Avsnittet heter #73 – När Hizbollah knäckte Israels radio
Det spelades in 2020-04-25 och lades ut 2020-04-26.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

De flesta avsnitt vi gör är enkla att källforska till och därför behöver vi sällan spekulera i saker och ting utan kan berätta korrekta fakta om allt vi pratar om. Detta avsnitt är annorlunda och tvunget att bli spekulativt till sin natur, eftersom stridande parter är ovilliga att berätta hemligheter och kan antas sprida information som helt eller delvis inte är korrekt.

Vi berättar historien och pratar om teknikerna som används av de olika parterna utan att beskriva helt exakt hur de olika militärerna använder dem. En del av det är hemligt, annat kan vara svårt att hitta detaljer om och en del kan även vara föråldrat. Så diskussionen blir därför något schematisk men ger dig ändå allt du behöver veta.

Här är några fördjupningar i ämnena vi pratar om:

När kom SDR (Software Defined Radio)?

Tekniken kom till så tidigt som på 1970-talet, men började utvecklas som ersättare för traditionella radiosystem på 1990-talet. På 2000-talet mognade tekniken och blev allt mer vanlig. 2009 fanns den till exempel i många 3G-mobiler. Detta gör att, precis som Erik säger, är det definitivt en möjlighet att Hizbollah kan ha använt denna teknik mot Israel.

https://en.wikipedia.org/wiki/Software-defined_radio

Några noteringar om frekvenshoppning

Jo, alltså det är ju lämpligt att kryptera sändningen också… Hohum… Säger bara det.

Förutom de saker vi pratade om vad det gäller frekvenshoppning, kan man lägga till att tekniken också gör det mycket svårare att störa sändningarna eftersom frekvenserna byts hela tiden.

Däremot är ju SDR-tekniken något som ändrat ekvationen och frekvenshopp i sig självt är inte längre nog för att skydda sändningen.

Väl värt att notera är också att det kan vara svårt att följa frekvenshoppande sändningar även med en SDR-mottagare om varje sändning plockas upp så svagt att den ligger nära brusmattan i mottagningen.

Den otroligt duktiga uppfinnaren och skådespelerskan Hedy Lamar anses idag vara frekvenshoppningens moder.

Enigma

Vi kommer in på ett kär gammal diskussion, nämligen Tyskarnas Enigmakrypto och hur det knäcktes. Detta har inte så mycket med ämnet för dagen att göra, men är en intressant avstickare till gamla tiders radioavlyssning. Här kan ni höra avsnittet.

Länkar…

SDR-tävlingen vi pratar om:

https://www.rtl-sdr.com/tag/frequency-hopping/

Bruce Schneier som ställer sig tveksam till sanningshalten i rapporten:

https://www.schneier.com/blog/archives/2006/09/did_hezbollah_c.html

The Registers artikel som herr Schneier refererar till:

https://www.theregister.co.uk/2006/09/20/hezbollah_cracks_israeli_radio/

DVB-T mottagaren vi pratar om:

https://www.amsat.se/2012/11/20/guide-lyssna-med-rtl-sdr-under-100-kr/

19 april, 2020

Show notes för #72 – Nio fel

Avsnittet heter #72 – Nio vanliga fel vid penetrationstester.
Det spelades in 2020-04-18 och lades ut 2020-04-19.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Några tankar
Avsnittet är i någon form en fristående fortsättning på våra avsnitt om Etisk hackning och Cyber Kill chain. En del av ämnena togs upp redan där, men i detta avsnitt fördjupar vi diskussionen om svårigheterna man möte när man testar system.

Denna gång försöker vi också fundera på vad som bör ingå i en bra rapport:

  • Ska ha en sammanfattning (Executive summary) med övergripande risk.
  • Lista alla mål som man kommit överens om.
  • Lista alla sätt det gick att ta sig in.
  • Ranka sårbarheter enligt något system som är enkelt att överblicka.
  • Föreslå förbättringar och lösningar.
  • Rapporten anpassas i omfång och detaljnivå efter uppdragets storlek och karaktär.

Allmänt om pentester, SDLC och när man gör tester

Software Development Life Cycle heter det ju faktiskt…

Pentester sker normalt i samband utrullningen av ett nytt system eller i samband med utrullningen av en ny version av ett system.

Testerna simulerar attacker och dokumenterar allting som upptäckts “på vägen”.

Pentester utföres alltid av en oberoende granskare.

Vår lista på de nio vanligaste felen som görs vid pentester:

1 – Att inte förstå avgränsningarna I uppdraget
2 – Att inte prioritera riskerna
3 – Att använda fel verktyg
4 – Att göra en dålig rapport
5 – Att bara ”kryssa för boxar” istället för att ge kreativiteten en chans.
6 – Att skada produktionssytem
7 – Att använda gammal teknik och ha gammal kunskap
8 – Att inte göra återkommande tester
9 – Att kunden inte genomför förbättringarna som föreslås.

Scroll to top