ShowNotes

23 augusti, 2020

Show Notes för #88 – Från det kalla kriget till dagens spioner på nätet

Avsnittet heter 88 – Från det kalla kriget till dagens spioner på nätet
Det spelades in 2020-07-07 och lades ut 2020-08-23.
Deltagare: Erik Zalitis, Fredrik Eriksson (Försvarshögskolan)
Show notes skrivna av Erik Zalitis.

“To know your future you must know your past” – George Santayana

Det kanske kan tyckas märkligt att avsnittet pågår i över 50 minuter innan IT-säkerhetsområdet berörs. Men detta är inte så konstigt. Hur länge har IT-säkerhet ens varit ett ämne? Inte lika länge som vi haft spioner, agenter, provokatörer och underrättelsetjänst. Vårt kära område ärvde allt detta innan det ens kommit en meter på vägen mot den verklighet vi har idag.

Fredrik Eriksson jobbar på Försvarshögskolan och har god koll på historien. Man skulle, som ni säkert vet, kunna säga att kalla kriget började efter 1945 när de såta vännerna USA och Sovjet började titta snett på varandra. Den värld som Roosevelt, Stalin och Churchill skapade på Jalta efter ett fylleslag eller två har vi levt i sedan dess. Sovjet må ha fallit och nya spelare har dykt upp, men kalla kriget är inte dött.

Någon gång på 2000-talet började världen ändras i en allt snabbare takt och Internet ändrade ekvationen totalt. De spelare som såg möjligheterna vann och de andra fick nöja sig med att gå kräftgång.

Fredrik Eriksson på Försvarshögskolan.

Fredrik har en enorm kunskapsbank som han gärna öser ur och avsnittet är faktiskt en timme långt, men Fredrik har inga problem att hålla det hela intressant och spännande.

Det är lätt att bli kallad foliehatt när man oroar sig för säkerhet och privat information, men Fredrik berättar klart och koncist om hur hoten faktiskt ser ut, baserat på sin egen och Försvarsområdets totala kunskap. Kalla mig gärna paranoid, men den dag Försvarsmakten INTE är det, då har vi problem.

Runt 49:30, citerar jag Asimov. Hela citatet ovan.

Länkar

Några tankar om framtiden från mig:

En mycket intressant diskussion om hur USA tappat mark och nya spelare tar över:
https://www.youtube.com/watch?v=hhMAt3BluAU

Kanadensaren JJ McCoullough berättar roat om påverkansaktioner han sett i verkligheten:
https://www.youtube.com/watch?v=2mQ8plzWl9g
(Alla påverkansaktioner görs inte nödvändigtvis av stater, man kan råka ut sekter, politiska organisationer eller andra aktörer som säljer ideologier eller synsätt)

… och till sist, jag passar på att tipsa om ett högst personligt litet projekt, en ”radiostation” som spelar Amiga-musik blandat med anekdoter från Amigans storhetstid. Det är inte en uns IT-säkerhet i den dock. Men allt kan inte handla om det, bara nästan allt…

https://www.youtube.com/watch?v=_4d6jszGais&t=41s
Watch my YouTube-channel, please! I’m a starving artist/entrepeneur/influencer who just wants free stuff! 🙂
15 augusti, 2020

Show Notes för #87 – Hollywood och hackaren – tre filmer som gör det rätt

Ok, det är film-hackning, men vad sjutton gör växeln -0??

Avsnittet heter 87 – Hollywood och hackaren – tre filmer som gör det rätt
Det spelades in 2020-07-02 och lades ut 2020-08-16.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Såååååå…. Vi är tillbaka med ett lite mer skämtsamt avsnitt där vi skrattar gott åt Holywoods oförmåga att förstå hackning. Helt ärligt behandlar de hackare som om de vore magiker från en fantasy-story. Kommandona de skriver på sina terminaler är ingenting annat än besvärjelser som de kastar vid tangentbordet. Så min jämförelse med alignments i rollspelvärlden är inget jag valt på slump. Det heter dock chaotic neutral och inte tvärtom:
http://easydamus.com/chaoticneutral.html

Sen vill jag notera att det låter som jag säger att NMAP kan användas för war dialing, det kan den inte. Jag uttryckte mig lite klumpigt, men menar helt enkelt att NMAP är som en war dialer fast för nätverksenheter. Egentligen inte en felsägning, men behöver förtydligas.

En accoustic coupler. Att tala om två muffar på en sandal är nog ingen vidare liknelse. Det är mer två muffar på en glasögonlåda, eller hur?

Mattias är nog rätt trött på mina utvikningar om retroprylar vid det här laget, men jag måste ändå få nörda ner mig i IMSAI-datorn och sandalen… eh… modemet.

Toneloc var en av den gamla tidens war dialers:
https://en.wikipedia.org/wiki/ToneLoc

Hollywood OS

Nu kan jag inte hitta det, men första gången jag såg begreppet Hollywood OS, var i en web serie där några IT-snubbar byggde ett och givetvis hade det blinkande varningsmeddelanden, rullande text, ljud när man tryckte på knapparna och så vidare. Eftersom jag inte hittar den (Vadå ”Internet glömmer aldrig” ?) får ni nöja er med dennas guide:
http://nand.net/~demaria/hollywood.txt

Nmap och porr

Screen is up here, dude!

För ett antal år sedan hade Nmaps hemsida en artikel om en filmad användarguide där en barbröstad kvinna lärde ut hur man använder verktyget, men de fick ta ner den, på grund att alla laddade ner bilderna och det blev för dyrt för dem ha dem kvar. Ibland undrar jag om vi människor egentligen är illa evolverade Bonobos…

Filmen heter ”HaXXXor Volume 1: No Longer Floppy” där E-lita (3-13378?) demonstrerar Nmap. Jag rekommenderar att man INTE söker efter den av ganska uppenbarliga skäl.

Här är alla gånger som Nmap setts i filmer (inklusive exemplet ovan!):
https://nmap.org/movies/

Portskanning är inte ett brott!

Tycker inte ja i alla fall, så om du har dolda portar som du inte vill ska hittas, bör du nog tänka om. Det är svårt att skydda sig mot att folk skannar dina nät om de kan nås från Internet.

Film: War games

Vi går ju igenom handlingen rätt ordentligt, så vi kanske inte ska prata så mycket mer om den här. Jag läste nyligen att John Lennon var tänkt att spela professorn i filmen. Men hans liv tog slut när han mördades av Mark Chapman december 1980, så det blev aldrig av.

Film: Matrix reloaded

Ja, jag gillade aldrig Matrix reloaded och Matrix revolting… ehh… revolutions. Däremot gillar jag att man kan hacka AI med SSH.

Och det är nördpoäng på att pausa sin DVD eller VHS

Appropå det där Family guy-avsnittet jag pratar om…

JA! Jag är #kränkt! Skämtet borde vara roligare. Seth för tusan!

Film: Office space

”Det är ju min häftapparat” tyckte mannen som inte riktigt fattade att han fått sparken, men ändå satt kvar. Filmen är ganska absurd och slutar med mordbrand och rutten moral.

Penny shaving och salami slicing är intressanta attacker där man i små steg, långsamt stjäl stora värden:
https://en.wikipedia.org/wiki/Salami_slicing

Sen låter de ju onekligen ganska ekivoka (vem är Penny, förresten?) vilket inte undgår oss i denna mer flamsiga diskussion.

Länkar

NCIS hanterar hackare riktigt illa … och sedan riktigt väl:
https://www.youtube.com/watch?v=u8qgehH3kEQ

4 juli, 2020

Show Notes för #83 – Turerna kring kritiserad ansiktsigenkänning

Vänta nu lite här… Så det finns alltså en metod för att neka tillgång till sitt ansikte när en kamera filmar en? Man behöver bara en lila ögonbindel och texten ”Access Denied” svävande över huvudet. Ok, låter rimligt.

Avsnittet heter 83 – Turerna kring kritiserad ansiktsigenkänning
Det spelades in 2020-07-02 och lades ut 2020-07-05.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Sommaren går nu in i sin lugnaste fas och det är en intressant observation att lyssnandet på podden mattas av något. Borde det inte vara tvärtom? Lyssnar inte folk mer på poddar i hängmattan? Kan vara så, men jag tror IT-säkerhetspodden har en trogen lyssnarskara som är på väg till eller från jobbet. En del poddar är avkoppling, men vår är nog information som folk tycker är vettig i sin yrkesutövning. Hur det än är med det, kan man snabbt konstatera att IT-säkerhetsproblemen inte tar någon semester.

Denna gång pratar vi ansiktsigenkänning och det finns en hel del beröringspunkter med tidigare avsnitt, som pratar djupare om vissa aspekter som vi tar upp i dagens avsnitt:

  • Hemlig dataavläsning – där vi pratar igenom polisens ny förmågor för övervakning med hjälp av trojaner.
  • AIs utveckling – där IBM och Microsoft pratar bland annat pratar om hur ansiktsigenkänning misslyckas med att känna igen folk och hur AI och maskininlärning inte alltid får till saker rätt.

Men tillbaka till dagens ämne: det finns det tekniska och det finns det sociala. Tekniskt sett är allting uppsatt för en perfekt storm, där datat till stora delar redan finns insamlat så att allt fler aktörer har allt fler korrekta identiteter med ansiktsdata i sina databaser. Det är inte omöjligt att tullen på en flygplats kan känna igen dig, när du äntrar hangaren, även om du är i ett helt annat land. Sen har tekniken brister, men dessa kommer lösas och för varje år som går blir samma data allt mer och mer användbart.

Dessutom kan man lätt se att antalet aktörer som kan få tillgång till ditt ansikte så att säga ökar. Polisen, företagen och troligen även allt fler privatpersoner får tillgång till möjligheter att spåra dig.

Det politiska programmet ”Last week tonight” skräder inte orden. Programledaren John Oliver berättar här om ansiktsigenkänning på ett roligt och ganska läskigt sätt.

Länkar

Som Mattias säger, kan all typ av teknologi som användas gör goda ting. DNA-teknik fångade till sist en serievåldtäktsman/mördare:
https://www.abc.net.au/news/2018-04-26/dna-links-former-us-police-officer-to-serial-killings/9698172

IBM slutar med ansiktsigenkänning efter mordet på Floyd:
https://www.nyteknik.se/digitalisering/efter-protesterna-i-usa-ibm-slutar-med-ansiktsigenkanning-6996868

Amazon likaså:
https://www.nyteknik.se/digitalisering/amazons-kovandning-pausar-forsaljning-av-teknik-for-ansiktsigenkanning-6996990

Svenska polisen använder modern teknik, men helgar ändamålen medlen?:
https://www.nyteknik.se/sakerhet/polisen-identifierade-utsatt-barn-med-kritiserad-app-6990417

Datainspektionens definition av ansiktsigenkänning:
https://www.datainspektionen.se/vagledningar/kamerabevakning/ansiktsigenkanning-och-dataskydd/


27 juni, 2020

Show Notes för #82 – Den nya ”månlandningen”

Detta måste vara en helt ny konspirationsteori. Jag vet om dårar som tror att USA aldrig åkte till månen 1969, men att det var Kina som gjorde det… Den var ny.

Avsnittet heter 82 – Den nya ”månlandningen”
Det spelades in 2020-06-26 och lades ut 2020-06-28.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

För några veckor sedan var det det förflutnas lärdomar som gällde när vi pratade om ”utdöda säkerhetsteknologier”, men denna gång är det framtiden som den kan tänkas se ut i och med att Kina slänger sin hatt i ringen. AI, Kvantdatorer, Block chain och IoT.

Månlandning är ju en jämförelse som förpliktigar, eller hur? Men är det vad vi pratar om? USA spenderade enorma pengar på projektet att landa på månen. Komikern Tom Lehrer uttryckte det sähär på sitt karaktäristiska giftiga sätt:

”And what is it that put America in the forefront of the nuclear nations? And what is it that will make it possible to spend twenty billion dollars of your money to put some clown on the moon? Well, it was good old American know how, that’s what, as provided by good old Americans like Dr. Wernher von Braun!”

Må så vara, men projektet lyckades, med liten marginal framför Sovjet. Därefter tacklade Amerikanarna av många år framöver. Men den som uppnår målet att hitta på en revolutionerande ny typ av AI eller kvantdator kommer ha mycket att vinna… För ett tag… Jag kommenterar på att det är en tillfällig seger, eftersom historien visar att andra länder snabbt kommer i kapp, ofta med hjälp av agenter och industrispionage.

Men fem till tio år av att vara marknadsledande kan räcka för att hålla täten eller till och med skifta världens centrum. Jag förutspådde att Kina inom tjugo år skulle kunna ta över ledarrollen från USA. Ett kanske lite kontroversiellt uttalande, men det är en distinkt risk/möjlighet beroende på hur du ser på saken. Kanske är den ”gamla världen”, hur man nu definierar den, i samma tillstånd som det Västromerska imperiet under 400-talet. Spekulativt kanske, men inte omöjligt.

Jag var nog lite väl optimistisk när jag sa att Sovjet var några veckor från att slå Amerikanarna med en bemannad expedition till månen, men det var, precis som jag sa en allvarlig explosion som satte ”p” för den möjlighet de hade:
https://www.youtube.com/watch?v=U9fkYIrRwbo

Faktum är att det var flera explosioner, varav en med många dödsoffer som till sist gjorde det omöjligt att hinna i tid. Och raketerna var inte ens adekvata för uppdraget. Men det är uppenbart att de hade en högst reell chans att slå Amerikanarna i kapplöpningen, vilket USA var väl medvetna om.

Winston Rowntree har en filosofisk, rätt elak och humoristisk version av det hela med månlandningen:
http://www.viruscomix.com/page545.html

En bra genomgång av det hela visar på alla problem som fanns:
https://www.forbes.com/sites/startswithabang/2019/07/11/this-is-why-the-soviet-union-lost-the-space-race-to-the-usa/#43df65c84192

Men tillbaka till nu och framtiden:

IDG rapporterar:
https://computersweden.idg.se/2.2683/1.735175/tencent-investera-ai-molnet?queryText=kina

13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

6 juni, 2020

Show Notes för 79 – Anonym med Tor och Tails

Effekten av att norpa första bildresultatet från Google när man söker på ”Tails”. Kanske ändå rätt ok, givet att han är någon form av räv. Typ Firefox alltså eller nåt?

Avsnittet heter 79 – Anonym med Tor och Tails
Det spelades in 2020-06-06 och lades ut 2020-06-07.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Skulle man bara prata anonym surfning, skulle vi kunna hålla på i timmar. Men om vi väljer ut den lilla tårtbit av anonymisering som heter TOR (The Onion Router) och den vanligaste vägen att använda det, Tails, har vi i alla fall ett väl avgränsad diskussion.

Vi har hållit oss från att dyka allt för djupt i den snåriga djungel som är att vara anonym.

Först en korrigering: Runt 11:10 säger jag att det troligen är mycket svårt att dekryptera en HTTPS-förbindelse på vägen givet att man inte hittar en sårbarhet (eller kan använda ett förfalskat certifikat som webbläsaren litar på). Det är sant förutsatt att man använder HSTS eller lösningar som HTTPS Everywhere. Gör man inte det, kan program som SSLStrip lura browsern att köra i klartext… Eller kunde.. För moderna webbläsare skriker i högan sky om en site inte är krypterad. Så det är nog inte så lätt längre att dekryptera, men för att vara så korrekt som möjligt (Vilket är den önskvärda nivån av korrekthet) bör det ändå påpekas.

En till korrigering: min kritik mot icke-härdade operativsystem skulle kunna tolkas som att Tails alltid är helt säkert, fast det är det ju inte så alls. Men det har mindre attackyta och är därför mycket mer lämpligt för anonymisering än att köra Windows 10 eller, säg, Ubuntu. Bara så det är klart. 🙂

Sen till funderingarna om HTTPS gör det svårare att injicera skadlig kod i en webbläsare. Det är såvitt jag kan se sant, men det finns ju fortfarande siter som inte har HTTPS, och då blir liknande attacker möjliga. De sårbarheter som användes av FoxAcid är sedan länge fixade. Men det är värt att notera att det är en fördröjning av patchningen av FireFox i Tails, eftersom det inte finns en uppdateringsmekanism, utan kräver att Tails uppdateras i sig.

Sen till det där med ”rent mjöl i påsen”. Jag kallade det för en idiotisk debatt, vilket det verkligen är. Men om någon undrar hur jag ser på det hela, finns en längre text skriven av mig här. TLDR: jag avskyr begreppet då det kommer med en outtalad anklagelse mot alla som vill hålla något hemligt, trots att det inte är något annat än den frihet vi alla måste få kräva.

Dock är det uppenbart att TOR-nätverket historiskt visserligen har fungerat men även ofta blivit en väg där underättelsetjänster och andra aktörer hare kunnat fånga folk som de tror har något att dölja.

En lite otäck tanke är att kanske är anonymitet i framtiden enbart en möjlighet om man inte försöker vara det, utan ser till att se ut som alla andra på nätet. Den som vägrar ha en Facebook-sida eller något annat socialt media sticker i och med detta ut själv, vilket är en oroväckande utveckling i sig.

31 maj, 2020

Show Notes för #78 – Digitalisering

En sammanbiten min, som bara den som har sett framtidens IT-säkerhet i en allt mer sammankopplad värld, kan ha. Det är en spännande och skrämmande verklighet och vi kan inte fly den.

Avsnittet heter 78 – Digitalisering
Det spelades in 2020-05-18 och lades ut 2020-05-31.
Deltagare: Mattias Jadesköld, Erik Zalitis och Pernilla Rönn.
Show notes skrivna av Erik Zalitis.

Detta är ett samarbete med SIG Security.

”Må du leva i spännande tider” sägs vara ett citat med gamla Kinesiska anor. Detta är troligen inte alls historiskt korrekt, men i talesättet ligger en del mörker. Det ska enligt vad jag förstått var en förtäckt önskan om olycka till en fiende. Hur det än är med den saken, lever vi faktiskt i ”spännande” tider och framtiden är både en stor möjlighet och ett stort hot.

Pernilla Rönn, som började sin karriär i branschen 1994, höll nyligen föredraget ”THE DIGITAL TRANSFORMATION SETS NEW REQUIREMENTS ON CYBER SECURITY” för SIG Security och här berättar hon om vilka utmaningar vi står inför när vi får den uppkopplade staden där allting står i ständig kommunikation med allting annat. Vad är då kraven på vår Cybersäkerhet när detta nu börjar hända?

Den digitala staden – påminner om Super Pipeline.

Det handlar egentligen om just vilka krav den nya digitala transformationen ställer på oss och samhället och givetvis hur de möjliggör en säkrare framtid.

Det är rätt självklart att alla involverade organisationer måste tänka om och modernisera sitt arbetssätt. Ordet för dagen är ”DevSecOp” som jag kallar för ”an army of one”, med en liten nickning till USAs arme som har just detta motto. Pernilla menar att alla i hela organisationen måste arbeta med säkerhet, vilket kommer få den där utpekade säkerhetsavdelningen att på sikt i någon mån faktiskt försvinna.

1994 när hon började, var medvetenheten om IT-säkerhet låg och det var i stora drag inte ens en fråga.

Länkar

SIG Security, vår eminenta samarbetspartner:
https://www.sigsecurity.org/

Hennes föredrag (tyvärr, ni har missat det!):
https://www.sigsecurity.org/fokus-kvall-21-4-virtuell-den-digitala-transformationen-staller-nya-krav-pa-cybersakerheten-risker-och-mojligheter-med-det/

23 maj, 2020

Show Notes för #77 – Säkerhetsläget med mySafety

(från vänster) PA Prabert, Mattias Jadesköld och Erik Zalitis. Inte i bild: alla IT-säkerhetsproblem på Internet och brottslingarna som snor din identitet.

Avsnittet heter 77 – Säkerhetsläget med mySafety
Det spelades in 2020-05-15 och lades ut 2020-05-24.
Deltagare: Mattias Jadesköld, Erik Zalitis och PA Prabert.
Show notes skrivna av Erik Zalitis.

Det är ju ett återkommande citat från mig att ”detta är det sämsta året hittills … åtminstone fram till nästa år”. Och attackerna ökar hela tiden. Men faktum är att den senaste rapporten från mySafety visar på en mer nyanserad bild där förra året har sett en liten minskning av vissa brott. Så vad är på gång?

Denna gång får ni ett sponsrat avsnitt där vi och försäkringsbolaget mySafety går igenom slutsatserna man dragit och hur man kan skydda sig mot dessa id-kapningar.

Mattias frågar ”hur skrämmande är det?”. Svaret är att två miljoner Svenskar varje år utsätts för någon form av försök till id-brott och av dessa lyckas 10% av dem på något sätt.

Åldringar är särskilt utsatta visar det sig, men detta innebär inte att andra är säkra. Faktum är att brottslingarna visat sig vara mästare på den typ av social ingenjörskonst som krävs för att lura till och med den mest skeptiska person. De är proffs på vad de håller på med. Och den som står med skammen att ha blivit lurad, vill ofta inte prata om det. Jag frågade om inte detta gynnar bedragarna, och PA säger att det tyvärr är så.

Länkar

MySafety
https://www.mysafety.se/

Deras rapport, som kom ut 2020-06-04:
https://www.mysafety.se/sites/default/files/mysafety_ID-kapn.rapport_maj_2020_web_0.pdf

16 maj, 2020

Show Notes för #76 – DANE, eller hur vi löser tillit i framtiden

IT-säkerhetspodden, c’est moi… I alla fall denna gång. Mattias är annorstädes, men kommer givetvis tillbaka till podden nästa vecka. Den som har flest skärmar när han dör, vinner…

Avsnittet heter #76 – DANE, eller hur vi löser tillit i framtiden?
Det spelades in 2020-05-16 och lades ut 2020-05-17.
Deltagare: Erik Zalitis
Show notes skrivna av Erik Zalitis.

Så var man alltså ensam denna gång och avsnittet blev ju därför hälften av både mantalet och längden. Men ämnet ligger i luften och idag handlar det om DANE (DNS-based Authentication of Named Entities).

Som jag sa i avsnittet förmår inte längre CAs (certificate authorities) längre garantera att utgivaren av certifikatet verkligen gjort sitt jobb och kollat den som beställde certifikatet innan de utfärdade det. Ett problem DANE kan lösa genom att låta den som driver sin DNS själv gå i god för den.

DANE ser till att:

  • Kryptering nu är obligatoriskt och inte ”om möjligt” som med t.ex. opportunistisk kryptering.
  • Man kan lita på att tjänsten hör till domänen och att utgivaren är den som kontrollerar den.

Och genom att kräva DNSSEC, blir det svårt för en hackare att styra om domänen och ta över den. Är det dock möjligt? Om en hackare kan ta kontroll över en organisations DNS och sedan ändra i både DANE-posterna och pekaren till en webbserver de styr, är det då inte kört i alla fall? Kanske, men det är en ganska komplicerad sak att göra, vilket är själva grejen. Ju fler kontroller som måste bekämpas, desto mindre sannolikhet är att det lyckas.

Länkar

En jämförelse mellan diverse teknologier som finns idag för epost:
https://certified-senders.org/wp-content/uploads/2020/02/Email-Transport-Encryption-STARTTLS-vs.-DANE-vs.-MTA-STS_updated.pdf

Microsofts lägger till DNSSEC och DANE:
https://techworld.idg.se/2.2524/1.733018/exchange-online-dane-dnssec

Vad är DANE?
https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-is-dane/

Steve Gibson skriver om problemet med CAs och har en, nu rätt föråldrad lösning:
https://www.grc.com/fingerprints.htm

En mer iögonfallande bloggpost anför att Dane och DNSSEC är opålitliga eftersom ”myndigheterna” kontrollerar DNSSEC. Vilket är en förklarlig om än paranoid argumentation givet att USAs myndigheter 2015 hade kontroll över t.ex. ICANN:
https://sockpuppet.org/blog/2015/01/15/against-dnssec/

… Fast, hans blogginlägg skrevs ju som sagt 2015, innan Icann slutade vara under USAs kontroll, så det argumentet håller inte längre. Resten av dem är ganska tveksamma också, men för att visa några motargument, kan man i alla fall lära sig något genom att titta igenom sidan.

9 maj, 2020

Show Notes för #75 – Vad kan IT-säkerhetsområdet lära av epidemier?

Anders Sandberg, vår ”go to guy” för situationer som kräver spännande berättelser om precis vad som helst och som gärna får oss att inse hur märklig vår omvärld egentligen är.

Avsnittet heter #75 – Vad kan IT-säkerhetsområdet lära av epidemier?
Det spelades in 2020-05-08 och lades ut 2020-05-10.
Deltagare: Mattias Jadesköld, Erik Zalitis och Anders Sandberg.
Show notes skrivna av Erik Zalitis.

Jag har känt Anders Sandberg sedan 1992 när jag var med på ett föredrag han höll på Unga Forskares så kallade fredagsträffar. Han har en entusiasm som är svår att missa och fascinerar med sin vältalighet, sin djupa kunskap och sin fenomenala pedagogiska förmåga.

Några år senare startade jag och några andra en radiostation där Anders kom att bli en regelbunden gäst som hann göra flera hundra korta och ibland längre diskussioner där han berättade om allt från astronomi till datorer och biologi.

Till skillnad från många på nätet har han genuina kunskaper om epidemiologi och även om IT-säkerhetsvinkeln ibland blir en utmaning för honom, levererar han en fascinerande berättelse som böljar mellan Corona, Spanska sjukan, spridningstalet, evolverande kod, hur lång tid det tar att smitta hela Internet och till sist har jag och Anders två vitt skilda idéer om varför moder jord låter oss var här på den lilla blå planeten vi kallar vårt hem.

Länkar

Här är min artikel om evolutionärt tryck på IT-miljöer som en idé:
https://www.itsakerhetspodden.se/hur-ser-moder-natur-pa-it-sakerhet/

Artikeln jag relaterade till där jag också blir intervjuad:
https://techworld.idg.se/2.2524/1.601350/aporna-som-harjar-bland-netflix-big-data

Hur fungerar flockimmunitet?:
https://fof.se/sites/fof.se/files/sa_funkar_smittornas_matematik.pdf

Kort med kärnfullt på Wikipedian:
https://sv.wikipedia.org/wiki/Basal_reproduktionskvot

Core War:
https://en.wikipedia.org/wiki/Core_War

Anders har pratat hos oss två gånger tidigare

AI, människans bästa eller sämsta uppfinning
https://www.itsakerhetspodden.se/podcast/10-ai-manniskans-basta-eller-samsta-uppfinning/

Kommer vi ha hemligheter i framtiden?
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

Facebook Spotify Soundcloud Apple Rss

Senaste avsnitten

Scroll to top