Sponsrat

2 oktober, 2022

#181 – Beyond the hype – riktiga IAM utmaningar

Det finns ingen acceptans idag för att bygga lösningar som saknar stöd för stark autentisering (multi-faktor) eller har brister i sin livscykelhantering. Indentitetshanteringen blir i princip obefintlig. Alltså har de gamla lösningarna konton som är aktiva, med dåliga lösenord och som tillhör personer som sedan länge slutat.

18 september, 2022

#179 – Torbjörn Andersson – teknisk innovation vs cyberhot

I dessa dagar är det alltid trevligt att prata med folk som förstår att zero trust network/architecture är en nödvändighet. Torbjörn talar väl för konceptet och ser verkligheten för vad den är. Torbjörn drogs tidigt till den kreativa sidan av datorer och blev det snabbt IT-säkerhet. Året var då 1997 och man började ana att vi snart skulle få en mycket annorlunda värld tackvare och pågrund av Internet.

19 juni, 2022

#174 – Brister med tvåfaktorsautentisering med Nikka

På Norges nationaldag, den 17 maj, höll Karl-Emil Nikka föredraget ”Utmaningen med säker autentisering” hos SIG Security för att förklara var vi är påväg med säker autentisering. Det är länge sedan nu, vi kunde prata om att ”vi måste sluta förlita oss på lösenord”. Det tåget har gått. Nu är det multifaktorautentisering som är standarden.

21 november, 2021

#144 – Att upphandla IT-säkerhet

Idag möter vi två konsulter från Ecenea som berättar om svårigheterna med att upphandla IT-säkerhet och varför det är viktigt att få till det rätt.

19 september, 2021

#134 – Hur blir IT-arkitekturen säker?

Skillnaden mellan att bara slänga upp servrar och nätverksutrustning i en liten miljö och att bygga ett helt nätverk för ett enormt militärt projekt är kravet på engagemang av IT-arkitekten. En avsaknad av planering har lett många projekt till katastrof och ett för tidiga avslut. Mattias är en erfaren IT-arkitekt och Erik har sett ett antal projekt krascha och brinna och de är båda överens om hur viktigt det är med någon som håller i tyglarna när konsulter löper amok och ingen riktigt vill fundera på vem som ska använda systemet när det är klart. Från Stockholms stads IT-plattform till projektet som redan köpt all utrustning innan arktitekten togs in. Historierna från skyttegraven roar och oroar.

18 juli, 2021

#129 – GTCC, möt 18 skarpa IT-hjärnor i september

Kent Illemann framför micken i detta specialavsnitt av IT-säkerhetspodden.

Avsnittet: 129 – GTCC, möt 18 skarpa IT-hjärnor i september
Inspelat: 2021-07-07 (publicerat 2021-07-18)
Deltagare:  Kent Illemann, Ulf Berglund, Erik Zalitis och Ina Nordqvist
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Va, är vår semester redan slut? Nix, men vi har ändå tid att ge er nyheten om Nordens nya IT-säkerhetskonfens: GTC. I samarbete med SIG Security tar vi nu alltså pulsen på de 18 säkerhetsexperter som kommer berätta om vad som händer i IT-säkerhet- och InfoSec-området just nu.

Ulf Berglund och Inga Nordqvist sedda från min plats vid bordet.

Kent, Ulf och Ina samlades hemma hos mig en onsdag eftermiddag där vi hade allt uppkopplat. Man samlades ute på min balkong, medan jag gjorde klart det sista och sedan körde vi igång. Det skulle ha blivit 90 minuter, men istället märkte vi att 45 räckte. Efter att ”saxen” gått i ”bandet”, var vi nere i nästa 37 minuter. Detta är exakt som det ska vara. Det är bara fördelar med att hålla sådana här diskussioner rimligen korta och koncisa. Allt viktigt hann sägas.

Talarna

Jacob Henricson
CISO, Skanska Sverige
http://skanska.com

Erik Blomberg
CISO, Handelsbanken
http://handelsbanken.se

Eva Throne-Holst
Information Security Officer, Nordnet Bank
http://nordnet.se

Sandra Elvin
CISO, Microsoft
http://microsoft.com

Tony Kylberg
CSO, Head of Group Security & Cyber Defence and Third Party Governance, SEB
http://seb.se

Thomas Nilsson
CIO, Försvarsmakten
http://forsvarsmakten.se

Anne-Marie Eklund Löwinder
Säkerhetschef, Internetstiftelsen
http://internetstiftelsen.se

Rebecca Ihrfors
Chef ledningssystem, FMV
http://fmv.se

Brian O’Toole
Head of Digital Services Security Center, Ericsson
http://ericsson.com

Helena Lindberg
Sveriges Riksrevisor, Riksrevisionen
http://riksrevisionen.se

David Jacoby
Senior Security Researcher, Kaspersky
http://kaspersky.com

Marcus Södervall
Head of Security & DPO, Stravito
http://stravito.se

Nicklas Kjellin
CTO, Covr Security AB
http://covrsecurity.com

Viktor Laszlo
Grundare, Devfinity

Daniel Melin
Moln- och datacenterstrateg, Skatteverket
http://www.skatteverket.se

Johan Christenson
Grundare och VD, City Network
https://citynetwork.se/om-foretaget/

Magnus Bergström
It-säkerhetsspecialist
http://imy.se

Anna Rehnström
VP Infrastructure & Platform Services, Basefarm
http://basefarm.com

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
3 april, 2021

#118 – Praktiska råd efter Schrems II

Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Sanningen smärtar….

Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?

Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.

Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
14 november, 2020

Show Notes för #100 – Säkerheten i HP SureClick

Eftersom vi inte vågar elda upp recensionsdatorn, får ni här en metafor för våra hårda nypor när vi granskade HP SureClick. Var den bra eller inte, lyssna vidare får ni veta….

Avsnittet heter #100 – Säkerheten i HP SureClick
Det spelades in 2020-10-25 och lades ut 2020-11-15.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

På YouTube.

Vi är ju normalt inte en ”videopodd”, så detta har varit en utmaning för oss. Jag har jobbat med ljudet och Mattias med bilden. Så här vårt första videoavsnitt där vi båda deltar. Vi kan inte lagra stora filer på Libsyn där vi skickar ut våra poddar, så avsnittet med video finns på YouTube och det med ljud finns där poddar finns (eller på denna sida).

HPs dator har ett antal säkerhetsfunktioner och vi har valt att gå igenom dem en och en för att se vad de klarar och var de inte räcker hela vägen.

Så till HP SureClick. Det lovar att den kan göra att din webbläsarsession körs i ett säkert läge, eller en ”detonationskammare” som jag kallar det. Effekten av en attack är att webbläsaren inte öppnar en väg in till resten av datorn, vilket annars kan leda till att ransomware får fotfäste, kryptobrytare får köra eller datorn kan tas över. När du stänger webbläsaren, raderas allt i den, vilket också avbryter all körande skadlig kod. Men allt du gör i webbläsaren i sig är inte säkert om någon tar över den och det du håller på med. Vilket kan vara banktransaktioner eller sessioner mot andra servrar eller ditt tillgång till ditt Facebook-konto.

Dessutom fungerar SureClick enbart med den inbyggda säkra webbläsaren som är en Chromium-klon vilken HP själva uppdaterar… ibland… Den äldre versionen av HP Sureclick lovade uppdateringar varje halvår. Detta är sällan och mycket oroande. När vi började testa, kunder Mattias konstatera att versionen av Chromium som du måste använda var 10 versioner efter den senaste som släppts. Chromium är ju också vad ”Google Chrome” är byggt på och den webbläsaren är troligen den mest eftertraktade att hacka för cyberbrottslingar.

Mitt under testet kom en ny version som lovar fler uppdateringar, men också tar bort stödet för alla andra webbläsare än den säkra.

Ehh… Läs NOGGRANT!!!

Rutan ovan finns i tillägget som är installerat i riktiga Google Chrome, som du kanske laddar ner och installerar på datorn, och det lovar dig säkerhet… Men det är inte sant, du måste klicka på ”Open new Secure Browser window” för att den säkra webbläsaren ska starta. Direkt vilseledande och garanterat att få folk att tro att de är säkra när så inte är fallet. Katastrofalt dåligt!

Borde man överhuvudtaget tillåta att köra saker utanför denna SureClick-funktion? Jag påpekar i avsnittet dumheten med ett säkerhetsskydd som man slår av och på hela tiden beroende på vad man gör.

15 hot… Från Enisa… Klicka på bilden för en större version.

Mattias valde att ställa upp SureClick mot det 15 vanligaste säkerhetshoten just nu. Vi går igenom dem steg för steg och snackar om de som är relevanta för diskussionen. Det är värt att notera, som jag skrev i början, att SureClick bara är EN av många funktioner som skyddar maskinen. Vi kommer givetvis ställa upp de andra säkerhetsfunktionerna mot hoten. Så i sin helhet kan datorn hantera fler hot än vad SureClick i sig själv klarar av. Men denna lök ska ju skalas, så det är vad vi gör i detta avsnitt.

Läskiga sajter som vi testar att ladda och som ändå inte ska kunna slå sig ur detonationskammaren… Inget hemskt hände denna gång i alla fall.
28 maj, 2020

Om ID-kapningar och bedrägerier

Bakgrund 

I IT-säkerhetspoddens avsnitt tillsammans med PA Prabert (Vice Koncernchef) och MySafety försäkringar kom givetvis snabbt in på ID-kapningar och bedrägerier eftersom det är något som försäkringsbolaget forskar i. Årligen släpps en rapport i ämnet och trenderna är tydliga. 

MySafety försäkringar bildades 1999 och har specialiserat sig kring försäkringar och just ID-kapningar. 2007-2008 började företaget titta noggrant på ID-kapningar på nätet och hur problemet kom från USA och började eskalera inom Sverige. Till och med näthat finns försäkringar emot där företaget ger hjälp och assistans ifall man utsatts för näthat. 

MySafetys undersökning 

Undersökningen bygger på ID-kapningar som har drabbat både företag (under 250 personer) och privatpersoner. Tyvärr är slutsatsen, sedan undersökningen börjades 2014, skrämmande. Det är många svenska som blir utsatta – 200 000 svenskar drabbas årligen.  

2019 minskade antalet något men redan nu ser man att det ökar igen. 2019 kan bero på att tekniken kommit ikapp attackerarna men nya tillvägagångssätt hittas hela tiden och 2020 pekar alltså uppåt igen. 

Det kanske mest skrämmande är att det görs betydligt fler försök till ID-kapningar. Två miljoner försök görs varje år eller ett försök var tionde minut. Alltså 10% av dessa lyckade. Så man kan enkelt göra slutsatsen att alla kommer någon gång drabbas av ett försök, och i värsta fall, en lyckad ID-kapning. 

Undersökningen visar också att Svenskarna visar ungefär att 50-80% har oro för kapning på nätet.  

Vad är en ID-kapning? 

Ja, enklast kan man säga att man anskaffar sig en annan person identitet där det absolut vanligaste är att använda någon annans bankkort. Nummer två på listan är att teckna lån i en annan person namn. 

Undersökningen visar att det ofta rör sig om att personer blir bestulna på ungefär 5.000 till 10.000 personer vilket kan anses vara en låg summa rent brottsligt, men eftersom det görs så många gånger blir beloppen väldigt stora.  

Dessvärre blir få brott uppklarade och majoriteten av ärenden hos polisen läggs ner.

Mer finns att läsa här.

Har vi blivit bättre? 

Svårt att säga. PA Prabert har sett i undersökningen att BankID har sjunkit rejält men en faktor är gemensam. Det här handlar om Social Engineering där personer luras genom telefonsamtal och i just dessa tider använder bedragarna Covid 19 som anledning till kontakt med personen. 

En kapad identitet bevakas 

MySafety letar efter kapade identiteter. En proaktiv bevakning som undersöker till exempel Dark Web. Kunden laddar ner en att och får en notifieringifall ens personuppgifter eller bankkortsnummer dyker upp på skumma siter. 

Så i bästa fall kan man alltså hinna stoppa ett pågående bedrägeri. Om inte alla brott, så kanske det första för det är vanligt att flera bedrägerier görs på samma stulna identitet.  

Hur ska man tänka då? 

PA Prabert summerar med hur man ska tänka för att skydda sig: 

  • Generellt sett ska man vara misstänksam 
  • Titta på epostadress och webadress 
  • Postnord och andra företag ber ofta inte om BankID eller komma från skumma siter 
  • “Saker som verkar för bra, är förmodligen för bra att vara sant” 
  • Använd starkt och unikt lösenord 
23 maj, 2020

Show Notes för #77 – Säkerhetsläget med mySafety

(från vänster) PA Prabert, Mattias Jadesköld och Erik Zalitis. Inte i bild: alla IT-säkerhetsproblem på Internet och brottslingarna som snor din identitet.

Avsnittet heter 77 – Säkerhetsläget med mySafety
Det spelades in 2020-05-15 och lades ut 2020-05-24.
Deltagare: Mattias Jadesköld, Erik Zalitis och PA Prabert.
Show notes skrivna av Erik Zalitis.

Det är ju ett återkommande citat från mig att ”detta är det sämsta året hittills … åtminstone fram till nästa år”. Och attackerna ökar hela tiden. Men faktum är att den senaste rapporten från mySafety visar på en mer nyanserad bild där förra året har sett en liten minskning av vissa brott. Så vad är på gång?

Denna gång får ni ett sponsrat avsnitt där vi och försäkringsbolaget mySafety går igenom slutsatserna man dragit och hur man kan skydda sig mot dessa id-kapningar.

Mattias frågar ”hur skrämmande är det?”. Svaret är att två miljoner Svenskar varje år utsätts för någon form av försök till id-brott och av dessa lyckas 10% av dem på något sätt.

Åldringar är särskilt utsatta visar det sig, men detta innebär inte att andra är säkra. Faktum är att brottslingarna visat sig vara mästare på den typ av social ingenjörskonst som krävs för att lura till och med den mest skeptiska person. De är proffs på vad de håller på med. Och den som står med skammen att ha blivit lurad, vill ofta inte prata om det. Jag frågade om inte detta gynnar bedragarna, och PA säger att det tyvärr är så.

Länkar

MySafety
https://www.mysafety.se/

Deras rapport, som kom ut 2020-06-04:
https://www.mysafety.se/sites/default/files/mysafety_ID-kapn.rapport_maj_2020_web_0.pdf

Scroll to top