Texter

19 juli, 2020

Höst-tankar – mitt under sommaren

Polistecknarens bild på brottslingen som stal vår poddutrustning. I alla fall enligt vad jag tycker vore mycket roligare än vad som egentligen hände i verkligheten. På Engelska heter det ju ”cat burglar”, så varför inte?

Skrivet i vanlig oordning av Erik Zalitis

Jag hade en galen idé, varför inte spela in avsnitt två i vår serie om loggning utomhus? Så jag packade ner en del av poddgrejerna i min väska och satte dem på pakethållaren. Dock spände jag i all hast inte fast dem ordentligt, så väskan ramlade av. Även om jag upptäckte felet snabbt, var någon annan snabbare att roffa åt sig grejerna. Så där rök utrustning för 10 000 kronor.

Jag har grejer kvar för att spela in poddar, men just då kändes det inte särskilt lockande, så nu är det tyst i vår eter fram till augusti, då allting vaknar upp igen.

Det är dock redan nu dags att prata om hur hösten kommer att bli på IT-säkerhetspodden. Visserligen en tidig plan som kan komma att ändras, men ändå…

Kommande avsnitt…

Datumen stämmer ju inte längre, men det blir av! Så är det bara.

När vi återkommer blir det för att avsluta vår serie om loggar och loggning. Denna kör jag själv och vi får se om de andra två avsnitten kommer att göras som webinars. Inget löfte, men ljud blir det garanterat.

De gav oss faktiskt datorn, så de har verkligen tappat ALL kontroll i hur vi faktiskt går till väga för att testa den. Brandväggar behöver lite tuff kärlek.

Därefter har jag och Mattias händerna fulla med att testa en känd leverantörs bärbara PC med ett inbyggt skydd som ska göra dem extremt säkra. Det kommer vi bli två om! Ingen pardon utlovas, men likväl ett ärligt test som kommer avslöja om det bär eller brister.

Riggat och klart för en diskussion om en historia som lika mycket hör till nutiden och även framtiden.

Sen blir det en långkörare. Vårt första avsnitt på en timme kommer att vara en diskussion mellan mig och Fredrik Eriksson på Förvarshögskolan där vi börjar med kalla kriget och landar i nutiden där underrättelserna flödar på Internet och mannen i trenchcoat har blivit digital och gett upp kikaren för att istället ladda ner ditt data som du lägger upp publikt och köra det genom maskininlärningssystem.

Ok, det är sista gången DU får beställa pizzan…

Vi har även två avsnitt som är redo att rulla ut så snart vi är tillbaka. Det ena är en humoristisk syn på de få gånger Hollywood verkligen förstått hur hackare fungerar och i det andra går vi på djupet med hur Twitters VD skrev nazistiska budskap i sitt Twitter-flöde.

Ljudteknikerns guide…

Ok, sorry, men jag bara måste. Det blir ju självklart förbättringar i ljudet i och med förlusten av vår utrustning leder till att ny är på väg. Det svider i plånboken, men det kommer inte göra ont i era hörlurar.

Schysst! Den inte bara ser cool utan, den är det också. Sen om våra röster är värdiga denna typ av mikrofon är en… låt oss säga… akademisk fråga… Vi säger så….

Neuman TLM 103 är en mycket välljudande mikrofon som enligt utsago kan jämföras med deras legendariska U87 som kanske kan tros vara en ubåt, men i själva verket är ljudets Rolls-Royce. (Jag kommer aldrig få slut på metaforer) Riktigt så bra är kanske inte 103an, men bra nära säger förståsigpåarna, och de borde ju veta och ljudproven på YouTube lovar fantastiska resultat. Mina öron håller med.

Sen har jag köpt in ljudskärmar som kommer göra att akustiken blir bättre, vilket är ett stor kamp för oss som inte har en egen studio.

Till sist byts vår hederliga och nu stulna Zoom H6 ut mot deras nya Zoom F6. Förutom fler mikrofoningångar har den ett poddläge som stänger av mickar som för närvarande inte pratas i. Detta måste jag nu göra manuellt, så funkar detta, halveras mitt redigeringsarbete.

Sen spelar den in i 32-bitars läge, vilket snillrikt nyttjas för att ge ett antal extra dB av ”head room”. Effekten blir att överstyrning blir mycket mindre sannolikt. Detta gör att jag slipper fokusera på att hålla efter ljudnivåerna på petimeternivå.

Så det är ju bara lovande just nu. Dessutom labbar vi med att ta fram metoder för videoinspelning, vilket gör att det kan bli mer sådana avsnitt, även om vi till syvendes och sist är en äkta podd.

Nej!!! Jag vägrar bli hipster… De har ju sålt ut. Jag gillade dem bara innan de var populära…

Är framtiden ljus, ja, men solglasen är fortfarande frivilligt.

9 juli, 2020

Ljudnörderi – hur vi gör podden

Såhär såg jag ut 1994 när jag började min karriär som ljudtekniker. Det fanns ingen närradiostation som jag inte sände från så fort jag fick möjlighet… Däremot blev det aldrig en professionell karriär för mig. Men man vart ju istället rätt hygglig på IT-säkerhet.

Skrivet av Erik Zalitis

”Det finns inga genvägar till det perfekta ljudet” säger ju farbror Barbro, och henom måste ju ha rätt eller hur? Faktum är att jag inte håller med. När man arbetar med ljudteknik, hittar man snabbt just genvägar för att göra att det låter bra och går så effektivt som möjligt att spela in.

Så låt mig berätta exakt hur IT-säkerhetspodden spelar in ljud och ser till att det kommer ut på nätet. Efter detta kommer ni förstå att det är allt annat än att bara sätta upp en mick på ett bord och sedan bara snacka på. Visst kan man göra så, men det blir därefter.

Låt mig därför ta dig med på en berättelse om hur vi spelar in ett avsnitt från när den feta duffelväskan med ljudutrustningen åker fram tills Libsyn publicerar det färdiga avsnittet.

Från vänster till höger: Erik Zalitis, Derek Melber och Mattias Jadesköld. Lokalen är Nordlo Improves lokaler i Kista där jag och Mattias normalt arbetar. Den mobila utrustningen är lätt att sätta upp och vi är snabbt igång var vi än månde vara.

Alltid mobil – alltid redo

Här sitter vi och spelar in den spännande historien om hur företaget AddTech hackades. Det är deras IT-chef som berättar och Kent från Sig Security som medverkar tillsammans med mig och Mattias (längst till höger)

En del poddar har lyxen att ha en studio och andra hyr en. Men vi är alltid mobila. Ge oss ett hyggligt tyst rum och vi är redo att spela in på några minuter. Det har ingen betydelse om det är jag och Mattias eller om vi har en eller flera deltagare.

En del gäster möter vi på deras jobb eller i en lokal som vi fixar fram själva. Andra intervjuas via Teams, Zoom eller annan konferansprogramvara. Detta är mycket vanligt nu i Coronatider.

Duffelväskan innehåller portabla mickstativ, tre mickar, en bandspelare, kablar och hörlurar. Många kopplar mickarna till en dator och lägger på effekter i realtid under inspelningen. Vi gör all processing i efterhand. Så det enda man måste göra under inspelningen är att justera ljudnivåerna och lyssna på att folk hanterar mickarna rätt.

När man rattar ljudet måste man konstant vara redo att korrigera fel som uppstår. Folk riktar sig bort från mickarna, prasslar med papper och fläktar går igång helt plötsligt utan förvarning.

Mattias brukar skämta om hur petig jag är med att folk ska sitta rakt framför mickarna, hålla händerna stilla och inte vrida på sig hela tiden. Om man inte håller pli på alla, går det sen inte att rätta till de störljud som uppstår i efterhand.

Dessutom måste man kompensera för hur folk pratar. Jag har en dynamisk röst som går upp och ner i ljudstyrka. Mattias har en mycket mer jämn röst, men har en tendens att ibland prata vädligt tyst, nästan viska. Sedan drar han in luft i lungorna och tar i så att mätarna går i taket. Man lär sig snart att lyssna efter hur folk pratar och förutsäga hur man ska justera nivåerna. Intervjuoffren är ett värre problem. Man vet inte hur de kommer använda sina röster. Några pratar med samma röstläge hela tiden, medan andra går mellan tordönstämma och tyst som en mus.

En digital ”bandspelare” är också en knepig sak. ”På min tid”, som vi gubbar gillar att säga, var det mesta analogt. En analog bandspelare tål måttlig överstyrning utan att det låter för dåligt. En digital gör det inte. Så fort du når ”nollan”, finns inga fler bitar kvar för att beskriva ljudet och då blir det blixtsnabbt svårt distorderat om man inte drar ner volymen när någon höjer rösten.

Men låt oss tala om utrustningen…

Nutidens Nagra? Detta är bara en i raden av digitala ljudinspelare som mer eller mindre ersatt alla mekaniska bandspelare bland radioreporters och filmskapare.

Bandspelaren: Zoom H6

När vi startade podden, plockade jag fram allting jag hade kvar från mina närradiodagar. Bland annat en digital Fostex Portastudio. Men jag var orolig för att den 16 år gamla maskinen skulle ha problem med sina åldrade CF-Kort och dessutom kändes den fel för ändamålet då den är mer menad för musiker och hade rätt lite spelrum för svårdrivna mickar. Så jag började kolla runt och Zoom H6 blev mitt val. Den är en märklig tingest som har fyra XLR-kontakter för mikrofoner med fantommatning och en mick-preamp med mycket gott headroom. Dessutom kan den expanderas med mickhuvuden eller två extra mikrofon-kontakter. Och den har en tydlig display som kan drivas på batterier och har multikanalinspelning för varje mikrofon. Den är lite dyrare än många andra liknande enheter, och det blev ju något jag fick stå för själv då vi inte hade några pengar för att göra podden. Men den fungerar fantastiskt. Dock är preampen något brusig när man går över sjuan på inspelningsnivån. Så den fungerar bäst med lättdrivna kondensatormickar eller närmickade dynamiska.

Ina och Ulf spelar radioteater i ett avsnitt vi gjorde i samarbete med SIG Security. Mickarna är två stycken AKG C1000.

Mikrofonerna ett och två: AKG C1000

Kondensatormickar förr i tiden var dyra och det fanns få som var bra i det billigare segmentet. C1000 var en av de första semi-proffsmickarna av kondensatortyp som var riktig vettiga enligt min åsikt. De är något av ett tveeggat svärd, då de är känsliga, lättdrivna, låter mycket bra men kan även distordera vid närmickning.

Mattias och jag sitter framför varsin sådan när vi pratar.

Mikrofon tre: Shure SM58

Shure SM58 är mikrofonernas Volvo. En duglig och vettig sådan som i sin design är okänslig, trubbig och är rätt medioker på att återge detaljer. Men för tal fungerar den pålitligt. Den kompenserar för ”proximity effekten”, alltså basökningen när man närmickar. Detta fungerar dock inte så bra i verkligheten, så man får ta med det i beräkningarna när man processar ljudet.

Det går att höra i en del avsnitt när vi är fler än två att den som får SM58an låter något mer bullrig och har en högre medelnivå på signalstyrkan på talet. Hint: det är oftast jag eller Mattias som använder den för att gästerna ska ha samma förutsättningar.

Pengar börjar nu komma in till podden och så, men vi vet att inte slösa. Så dessa mickar, som är mina privata, får vara kvar då de fungerar bra och är pålitliga.

Redigering

Såhär kan det se ut hemma hos mig när jag ensam gör program eller intervjuar någon via videochatt. När Mattias är med sitter vi i vardagsrummet. Och när vi intervjuar andra hittar vi alltid någon vettig lokal att köra från.

Det finns många program för ljudredigering därute, men vi spelar ju in allting på Zoom-bandspelaren och för sedan över det till min bärbara där redigeringen sedan sker. Jag kan även göra det mesta jobbet via min stationära hemma.

Offline-metoden att skapa programmen gör att man aldrig gör ett slutgiltigt beslut. Skulle jag vilja göra om ett avsnitt eller så i framtiden, kan jag göra om allting utan att behöva bry mig om hur filter och effekter lades på vid förra redigeringen. Alla originalfiler redigeras icke-destruktivt och mastras till en .wav och en .mp3-fil. Så om någon vill ha ett utdrag, kan jag alltid ge dem möjligheten att själva bestämma slutresultatet.

Kravet på ett ljudprogram där man offlineredigerar är inte så stora, så gratisprogrammet Audacity räcker för oss. Dyrare program gör det ofta möjligt att spela in flera kanaler samtidigt direkt i datorn med effekter pålagda i realtid. Men vi jobbar ju inte så…

Att skapa ljud är att veta i förväg hur det ska låta. Jag är en radionörd och lyssnar ofta på Sverige Radios ljud och försöker hitta inspiration för hur det ska låta. De har bra mycket bättre utrustning än vad vi kan drömma om, men det går att gissa hur de tänker och ta efter. Men givetvis blir det inte samma ljud. Jag tror tricket är närmickning, mycket limitering, peta på lite mer diskant och försöka se till att ljudnivåerna jämna och starka så att podden hörs bra i bilen eller i mobilen på tunnelbanan. Detta gör att jag offrar klarhet, dynamik och korrekt röståtergivning för kraft, intensitet och närhet i ljudet. Men ibland gör det faktum att vi alltid är mobila det svårt att få studiokänsla i ljudet. Det ligger i sakens natur. Dock är jag noggrann med att det alltid ska låta så bra att man kan leva med lite ”på fältet-känsla” med rumsakustik och bakgrundsljud.

Processning

Audacity… Ett program som har fräckheten att vara gratis och dessutom hyggligt bra. Var är världen påväg månne?

Innan redigeringen börjar jag med att lägga till vinjetten och justera starten på talet så den hamnar korrekt i slutet av den. Sedan går jag på varje deltagares kanal och går igenom följande steg tills alla deltagarnas röster låter bra:

Steg 1 – Upplättning av diskanten

Det blir lätt burkigt ljud när man spelar in. Jag lättar upp diskanten med några dB för att få en bättre ljudbild. Detta gör att rösterna blir ”piggare”. När jag lyssnar på andra poddar, märker jag de inte verkar göra detta. Det gör att vi låter bättre och mer professionella. Men det är inte gratis, denna ökning skapar en tendens till skarpa S-ljud. Mer om hur vi fixar detta lite senare.

Steg 2 – Limitering / komprimering

Ljudkurvorna ovan visar ljudstyrkan i Y-axeln och tiden i X-axeln. Högre staplar = starkare ljud.

Jag börjar med originalljudet från bandspelaren (A), komprimerar sedan det så man minskar skillnaden mellan de svaga och starka delarna av ljudet och plattar således till topparna (B). Till sist normaliserar jag ljudet för att kompensera för de förlorade topparna (trycker upp ljudpaketet). Resultatet blir ett ljud med större kraft, intensitet och som även hörs bra när man lyssnar på det i en brusig miljö. (C).

Ok, låt mig förklara. Komprimering av ljud har ingenting med Mp3-filer och sånt göra, det är i sig en annan sak som också kallas komprimering. Det jag pratar om är när man minskar skillnaden mellan de starka och de svaga partierna i ljudet. Man trycker som sagt ihop det. I extremfall skulle man kunna säga att en hårnål som slår i golvet och en atombomb som briserar skulle kunna låta lika högt i dina hörlurar. ”Loudness wars” dök upp när ljudtekniker som mastrade musik för CD-skivor hårdkomprimerade ljudet för att det skulle låta starkare och ge mer tryck i högtalarna eller överrösta andra källor. Det pratades också om att låga inspelningsnivår på ett digitalt media ledde till problem med upplösningen av ljudet med kvantiseringsbrus och anti-aliasing som följd. Detta är inom rimliga nivåer rent nys, anser jag.

Audiofiler HATAR ljudkomprimering. Limitering är en mycket kraftig komprimering som kan skapa mycket problem med dynamiken. Och the ”Loudness wars” är en stor källa till ilska bland audiofiler som anser att det förstörde CD-skivan på 90-talet.

Men radion älskar kompressorer och limiters. Dessa gör att en bra röst kan dåna över FM-radions brus, kortvågens atmosfäriska störningar eller andra situationer där signalen är tvungen att höras bra. IT-säkerhetspodden är inspelad och mastrad som den vore en riktig radiostation eftersom det är så jag lärt mig göra det. Vi har ofta en märkbart högre ljudnivå än de flesta andra poddarna jag jämför med och många Youtube-klipp. Detta kommer med konsekvensen att vi inte alltid låter lika rent, naturligt och äkta. Uppoffringen är lätt att göra, för att jag anser att det är precis så jag VILL att det ska låta.

Steg 3 – Normalisering / DC offset

Direkt efter limitering är ljudet alltid lägre än innan. Om jag minskar topparna, kommer ”ljudpaketet” att bli tätare när de försvinner. Normaliseringen höjer sedan det kvarvarande ljudet så dess högsta delar går upp till den högsta möjliga ljudnivå som är möjlig. På detta sätt trycker vi först ihop ljudet och sedan skruvar vi upp det så långt det går så att signalförlusten försvinner. Resultatet blir ett intensivare ljud som ”ligger på topp”.

DC-justeringen ser till att korrigera om signalen är förskjuten på grund av på grund av en felaktig likspänningsnivå. Detta är sällan ett problem, men bra att göra.

Steg 4 – De-essing med Soothe2

Såhär ser Soothe2 ut. Den kan ställas in för alla möjliga typer av ljudbehandling.

Minns du att jag skrev att S-ljuden blir starkare efter min ökning av diskanten? Detta kan vara otrevligt att lyssna på. Fenomenet kallas på Engelska för ”sibilance”. Så vi måste hantera detta. Fram tills för några veckor sedan kunde vi inte göra så mycket åt det, så vi fick vara försiktiga med att öka diskanten för mycket. Då köpte jag programmet Soothe2, en multibandskompressor i mjukvara med profiler för en hel del intressanta effekter. Bland annat ett antal de-essers.

En de-esser är enkelt uttryckt en kompressor/limiter som arbetar på en mycket begränsad del av ljudet. Man trycker bara ner det runt just de frekvenser där s-ljudet ligger. Detta gör att talet inte blir så vasst.

Denna process håller jag på att förfina just nu. De-essing infördes första gången på avsnittet #80 – Säkerhet kring utdöd teknik.

Steg 5 – Hantering av rumsakustiken och min tunga andning

Här sitter Mattias i mitt vardagsrum och går igenom manuset inför att vi ska börja spela in. Kaffet flödar och tankarna koncentreras.

Alla rum som inte är byggda som studios har en rumsakustik. Om väggarna är raka (vilket de är i normala rum), studsar ljudet mellan dem och det bildas en stående våg. Vi har ju ingen studio och vi är inte alltid samma lokal. Så en viss rumsakustik är att vänta. Närmickning och att mickarna har en tillsats som ger dem en smalar upptagningszon (”Karaktäristik”) minskar problemet i någon mån.

I och med att varje mikrofon har en egen kanal som blir en egen ljudfil i bandspelaren, kan man filtrera ut den kanal som inte används för stunden. Detta minskar rummets inverkan ordentligt. Jag har en tung andning som kräver att jag tystar min mikrofon när jag inte talar. Detta gör jag i efterredigeringen och har ännu inte kommit på hur man automatiserar det på ett tillförlitligt sätt. Så detta är nog den delen som tar längst tid att genomföra.

Steg 6 – Tätning av pratet: hur man får en rappare konversation

Tänk att du lyssnar på ett avsnitt av IT-säkerhetspodden och diskussionen går såhär:

Erik: – ”Om man tänker på …. ehh….. hur … vad heter det nu …. hur … hur … Burp suite kan användas för att göra SQL-injekti…. injections… snabbare att hitta, måste man förstå att konceptuellt sett…”

Mattias: – ”Alltså du tänker på … hur … man … alltså .. kan … göra det mer … eh…”.

Erik: – ”Automatiskt?”

Mattias: – ”Just det… Kan man då säga att det blir mer … mer tillför…eh…litligt”

Såhär skulle en konversation kunna låta i ett program och det är normalt. Och till viss del måste det ju få göra det – ingen pratar i skriftspråk. Men det är ändå en viss fördröjning mellan ord när vi försöker komma på hur meningen bör avslutas eller letar efter lämpliga ord.

Beroende på trötthetsgrad, stress och hur våra diskussioner ofta kan komma in på sidospår som vi inte förberett för, blir det ibland lite för mycket stapplande eller letande efter hur vi ska uttrycka oss. Och det kan till sist bli irriterande att lyssna på.

Förut klippte jag enbart uppenbara omtagningar eller extremt långa pauser. Nu lägger jag ner på tid att klippa i meningar och mellan dem för att få dem rappare och ta bort tunga inadningar och onödiga repetitioner.

Detta är svårt, då det ibland rent av inte går. Om man tar bort ord mitt i en mening kan talrytmen bli fel. Det låter helt enkelt bara konstigt. Om någon uttalar ett ord fel två gånger på rak, gör de ofta därefter en djup inandning och lägger sedan kraft på ordet den tredje gången för att i ren irritation få till det rätt. Klipper man bort de första två felaktiga uttalen, blir meningen mycket märklig. Det blir som personen helt plötsligt SKRIKER ut ett ord mitt i en mening.

Så ofta klipper jag till ljudet, lyssnar och rättar klipp-punkterna tills det låter naturligt. Går inte det, får det vara kvar i oförändrat skick.

Pauser kortas också ned för att vi blixtsnabbt ska svara varandra i inledningen där det inte låter som vi konverserar. Därefter får konversationen gärna låta mer som just en sådan. Det finns ingen metod att göra det rätt, utan bara att lyssna… lyssna… lyssna… Känns det för det mesta som en ”skjutjärnsdiskussion”, är det perfekt klippt.

En noggrann lyssning

Därefter tar jag paus för att vila hörseln. Sedan lyssnar jag på programmet i sin helhet. Detta gör jag ofta med en JBL bluetooth-högtalare jag har. Denna är inte korrekt i sin ljudåtergivning men tänkt för att demonstrera hur det kan tänkas låta i någons bilstereo eller annan ”smart-speaker”.

I detta läge tar jag också noteringar om saker vi säger som kanske bör föklaras mer noggrannt i våra show notes. Jag noterar även problem med ljudet och kanske brister i samtalet eller i värsta fall en felsägning eller inkorrekt fakta. Jag försöker också sätta mig in i hur en lyssnare kan tänkas förstå vad vi säger. Är vi tillräckligt tydliga? Kan man missförstå oss?

Det är mycket ovanligt att det uppstår en situation när jag måste gå in och klippa om i programmet eller rätta något. Men en del hamnar i show notes.

Mastring

Det har hänt en del sedan George Martins dagar… Men han fick leva tillräckligt länge för att själv se det, denna legend som gav Beatles en del av sitt sound.

Att ”mastra” är att skapa en färdig processad och redigerad inspelning och lagra den i en form redo för produktion av t.ex. vinylskivor eller CD-skivor. i vårt fall handlar det istället om att skapa ljudfiler och lägga upp dem på nätet.

Jag skapar alltid en .wav-fil i full ljudkvalité och en .mp3-fil med CBR Stereo 192 kbps 48 KHz eftersom det sistnämda är vad vi lägger upp för lyssning. MP3-filen blir normalt runt 20-40 MB beroende på längden på programmet.

Vi har ett konto på Libsyn där vi laddar upp filen och skapar ett nytt avsnitt. Detta schemalägger vi sedan till lämpligt datum efter att vi lagt upp en beskrivande text och en bild. Bilderna skapar Mattias som oftast även skriver beskrivningstexten.

När tiden instundat, trycker Libsyn ut ljudfilen med bilden inbäddad på alla tjänster där man kan nå den som t.ex. YouTube, Soundcloud m.fl. Många tjänster accepterar inte några filer utan bara ett RSS-feed (en textfil kan man säga) där man talar om att det finns ett nytt avsnitt och var man kan ladda ner filen från Libsyns Content Delivery Network. Tjänster som Itunes, Podbean, TuneIn, Spotify och liknande fungerar så och Libsyn fixar även detta.

Slutsats

Det kanske låter märkligt men varje avsnitt tar i genomsnitt tio timmar att producera från planering tills att det ligger ute. I detta ligger bokning av gäster, lokaler, resor, manusskrivning, själva inspelningen, fotografering, redigering, kontrolllysning, skapande av bilder för illustrationer, skrivande av beskrivningar, skapande av show notes och publicering på sociala media.

Sen tillkommer hemsidedesign, kommunikation med lyssnare, lyssna på våra ”konkurrenter”, läsa om om allt som händer på säkerhetssidan, planera kommande poddavsnitt, svettigt läsande och behandlande av lyssnarstatistik. Även fundera på trender, försöka förstå varför vi ökar eller minskar i lyssning och läsa på om poddteknik rent allmänt.

Därutöver åker jag och Mattias ibland ut och föreläser på IT-säkerhetsämnet på diverse seminarier eller gör recensioner av säkerhetslösningar. Vi arbetar även båda på Nordlo Improve med IT-säkerhet och utvecklar tillsammans ett kommande system för automatiserad server- och klientdokumentation i vårt egna företag MoleAnt AB.

Ljudskapande är en viktig bit i det hela för att låta så bra som vi kan givet våra förutsättningar och det är något som tas på blodigt allvar!

Tips: här är en guide i just Ljudteknik jag skrev på den tiden Metusalem gick på jorden.

4 juli, 2020

Show Notes för #83 – Turerna kring kritiserad ansiktsigenkänning

Vänta nu lite här… Så det finns alltså en metod för att neka tillgång till sitt ansikte när en kamera filmar en? Man behöver bara en lila ögonbindel och texten ”Access Denied” svävande över huvudet. Ok, låter rimligt.

Avsnittet heter 83 – Turerna kring kritiserad ansiktsigenkänning
Det spelades in 2020-07-02 och lades ut 2020-07-05.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Sommaren går nu in i sin lugnaste fas och det är en intressant observation att lyssnandet på podden mattas av något. Borde det inte vara tvärtom? Lyssnar inte folk mer på poddar i hängmattan? Kan vara så, men jag tror IT-säkerhetspodden har en trogen lyssnarskara som är på väg till eller från jobbet. En del poddar är avkoppling, men vår är nog information som folk tycker är vettig i sin yrkesutövning. Hur det än är med det, kan man snabbt konstatera att IT-säkerhetsproblemen inte tar någon semester.

Denna gång pratar vi ansiktsigenkänning och det finns en hel del beröringspunkter med tidigare avsnitt, som pratar djupare om vissa aspekter som vi tar upp i dagens avsnitt:

  • Hemlig dataavläsning – där vi pratar igenom polisens ny förmågor för övervakning med hjälp av trojaner.
  • AIs utveckling – där IBM och Microsoft pratar bland annat pratar om hur ansiktsigenkänning misslyckas med att känna igen folk och hur AI och maskininlärning inte alltid får till saker rätt.

Men tillbaka till dagens ämne: det finns det tekniska och det finns det sociala. Tekniskt sett är allting uppsatt för en perfekt storm, där datat till stora delar redan finns insamlat så att allt fler aktörer har allt fler korrekta identiteter med ansiktsdata i sina databaser. Det är inte omöjligt att tullen på en flygplats kan känna igen dig, när du äntrar hangaren, även om du är i ett helt annat land. Sen har tekniken brister, men dessa kommer lösas och för varje år som går blir samma data allt mer och mer användbart.

Dessutom kan man lätt se att antalet aktörer som kan få tillgång till ditt ansikte så att säga ökar. Polisen, företagen och troligen även allt fler privatpersoner får tillgång till möjligheter att spåra dig.

Det politiska programmet ”Last week tonight” skräder inte orden. Programledaren John Oliver berättar här om ansiktsigenkänning på ett roligt och ganska läskigt sätt.

Länkar

Som Mattias säger, kan all typ av teknologi som användas gör goda ting. DNA-teknik fångade till sist en serievåldtäktsman/mördare:
https://www.abc.net.au/news/2018-04-26/dna-links-former-us-police-officer-to-serial-killings/9698172

IBM slutar med ansiktsigenkänning efter mordet på Floyd:
https://www.nyteknik.se/digitalisering/efter-protesterna-i-usa-ibm-slutar-med-ansiktsigenkanning-6996868

Amazon likaså:
https://www.nyteknik.se/digitalisering/amazons-kovandning-pausar-forsaljning-av-teknik-for-ansiktsigenkanning-6996990

Svenska polisen använder modern teknik, men helgar ändamålen medlen?:
https://www.nyteknik.se/sakerhet/polisen-identifierade-utsatt-barn-med-kritiserad-app-6990417

Datainspektionens definition av ansiktsigenkänning:
https://www.datainspektionen.se/vagledningar/kamerabevakning/ansiktsigenkanning-och-dataskydd/


27 juni, 2020

Show Notes för #82 – Den nya ”månlandningen”

Detta måste vara en helt ny konspirationsteori. Jag vet om dårar som tror att USA aldrig åkte till månen 1969, men att det var Kina som gjorde det… Den var ny.

Avsnittet heter 82 – Den nya ”månlandningen”
Det spelades in 2020-06-26 och lades ut 2020-06-28.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

För några veckor sedan var det det förflutnas lärdomar som gällde när vi pratade om ”utdöda säkerhetsteknologier”, men denna gång är det framtiden som den kan tänkas se ut i och med att Kina slänger sin hatt i ringen. AI, Kvantdatorer, Block chain och IoT.

Månlandning är ju en jämförelse som förpliktigar, eller hur? Men är det vad vi pratar om? USA spenderade enorma pengar på projektet att landa på månen. Komikern Tom Lehrer uttryckte det sähär på sitt karaktäristiska giftiga sätt:

”And what is it that put America in the forefront of the nuclear nations? And what is it that will make it possible to spend twenty billion dollars of your money to put some clown on the moon? Well, it was good old American know how, that’s what, as provided by good old Americans like Dr. Wernher von Braun!”

Må så vara, men projektet lyckades, med liten marginal framför Sovjet. Därefter tacklade Amerikanarna av många år framöver. Men den som uppnår målet att hitta på en revolutionerande ny typ av AI eller kvantdator kommer ha mycket att vinna… För ett tag… Jag kommenterar på att det är en tillfällig seger, eftersom historien visar att andra länder snabbt kommer i kapp, ofta med hjälp av agenter och industrispionage.

Men fem till tio år av att vara marknadsledande kan räcka för att hålla täten eller till och med skifta världens centrum. Jag förutspådde att Kina inom tjugo år skulle kunna ta över ledarrollen från USA. Ett kanske lite kontroversiellt uttalande, men det är en distinkt risk/möjlighet beroende på hur du ser på saken. Kanske är den ”gamla världen”, hur man nu definierar den, i samma tillstånd som det Västromerska imperiet under 400-talet. Spekulativt kanske, men inte omöjligt.

Jag var nog lite väl optimistisk när jag sa att Sovjet var några veckor från att slå Amerikanarna med en bemannad expedition till månen, men det var, precis som jag sa en allvarlig explosion som satte ”p” för den möjlighet de hade:
https://www.youtube.com/watch?v=U9fkYIrRwbo

Faktum är att det var flera explosioner, varav en med många dödsoffer som till sist gjorde det omöjligt att hinna i tid. Och raketerna var inte ens adekvata för uppdraget. Men det är uppenbart att de hade en högst reell chans att slå Amerikanarna i kapplöpningen, vilket USA var väl medvetna om.

Winston Rowntree har en filosofisk, rätt elak och humoristisk version av det hela med månlandningen:
http://www.viruscomix.com/page545.html

En bra genomgång av det hela visar på alla problem som fanns:
https://www.forbes.com/sites/startswithabang/2019/07/11/this-is-why-the-soviet-union-lost-the-space-race-to-the-usa/#43df65c84192

Men tillbaka till nu och framtiden:

IDG rapporterar:
https://computersweden.idg.se/2.2683/1.735175/tencent-investera-ai-molnet?queryText=kina

13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

6 juni, 2020

Show Notes för 79 – Anonym med Tor och Tails

Effekten av att norpa första bildresultatet från Google när man söker på ”Tails”. Kanske ändå rätt ok, givet att han är någon form av räv. Typ Firefox alltså eller nåt?

Avsnittet heter 79 – Anonym med Tor och Tails
Det spelades in 2020-06-06 och lades ut 2020-06-07.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Skulle man bara prata anonym surfning, skulle vi kunna hålla på i timmar. Men om vi väljer ut den lilla tårtbit av anonymisering som heter TOR (The Onion Router) och den vanligaste vägen att använda det, Tails, har vi i alla fall ett väl avgränsad diskussion.

Vi har hållit oss från att dyka allt för djupt i den snåriga djungel som är att vara anonym.

Först en korrigering: Runt 11:10 säger jag att det troligen är mycket svårt att dekryptera en HTTPS-förbindelse på vägen givet att man inte hittar en sårbarhet (eller kan använda ett förfalskat certifikat som webbläsaren litar på). Det är sant förutsatt att man använder HSTS eller lösningar som HTTPS Everywhere. Gör man inte det, kan program som SSLStrip lura browsern att köra i klartext… Eller kunde.. För moderna webbläsare skriker i högan sky om en site inte är krypterad. Så det är nog inte så lätt längre att dekryptera, men för att vara så korrekt som möjligt (Vilket är den önskvärda nivån av korrekthet) bör det ändå påpekas.

En till korrigering: min kritik mot icke-härdade operativsystem skulle kunna tolkas som att Tails alltid är helt säkert, fast det är det ju inte så alls. Men det har mindre attackyta och är därför mycket mer lämpligt för anonymisering än att köra Windows 10 eller, säg, Ubuntu. Bara så det är klart. 🙂

Sen till funderingarna om HTTPS gör det svårare att injicera skadlig kod i en webbläsare. Det är såvitt jag kan se sant, men det finns ju fortfarande siter som inte har HTTPS, och då blir liknande attacker möjliga. De sårbarheter som användes av FoxAcid är sedan länge fixade. Men det är värt att notera att det är en fördröjning av patchningen av FireFox i Tails, eftersom det inte finns en uppdateringsmekanism, utan kräver att Tails uppdateras i sig.

Sen till det där med ”rent mjöl i påsen”. Jag kallade det för en idiotisk debatt, vilket det verkligen är. Men om någon undrar hur jag ser på det hela, finns en längre text skriven av mig här. TLDR: jag avskyr begreppet då det kommer med en outtalad anklagelse mot alla som vill hålla något hemligt, trots att det inte är något annat än den frihet vi alla måste få kräva.

Dock är det uppenbart att TOR-nätverket historiskt visserligen har fungerat men även ofta blivit en väg där underättelsetjänster och andra aktörer hare kunnat fånga folk som de tror har något att dölja.

En lite otäck tanke är att kanske är anonymitet i framtiden enbart en möjlighet om man inte försöker vara det, utan ser till att se ut som alla andra på nätet. Den som vägrar ha en Facebook-sida eller något annat socialt media sticker i och med detta ut själv, vilket är en oroväckande utveckling i sig.

31 maj, 2020

Show Notes för #78 – Digitalisering

En sammanbiten min, som bara den som har sett framtidens IT-säkerhet i en allt mer sammankopplad värld, kan ha. Det är en spännande och skrämmande verklighet och vi kan inte fly den.

Avsnittet heter 78 – Digitalisering
Det spelades in 2020-05-18 och lades ut 2020-05-31.
Deltagare: Mattias Jadesköld, Erik Zalitis och Pernilla Rönn.
Show notes skrivna av Erik Zalitis.

Detta är ett samarbete med SIG Security.

”Må du leva i spännande tider” sägs vara ett citat med gamla Kinesiska anor. Detta är troligen inte alls historiskt korrekt, men i talesättet ligger en del mörker. Det ska enligt vad jag förstått var en förtäckt önskan om olycka till en fiende. Hur det än är med den saken, lever vi faktiskt i ”spännande” tider och framtiden är både en stor möjlighet och ett stort hot.

Pernilla Rönn, som började sin karriär i branschen 1994, höll nyligen föredraget ”THE DIGITAL TRANSFORMATION SETS NEW REQUIREMENTS ON CYBER SECURITY” för SIG Security och här berättar hon om vilka utmaningar vi står inför när vi får den uppkopplade staden där allting står i ständig kommunikation med allting annat. Vad är då kraven på vår Cybersäkerhet när detta nu börjar hända?

Den digitala staden – påminner om Super Pipeline.

Det handlar egentligen om just vilka krav den nya digitala transformationen ställer på oss och samhället och givetvis hur de möjliggör en säkrare framtid.

Det är rätt självklart att alla involverade organisationer måste tänka om och modernisera sitt arbetssätt. Ordet för dagen är ”DevSecOp” som jag kallar för ”an army of one”, med en liten nickning till USAs arme som har just detta motto. Pernilla menar att alla i hela organisationen måste arbeta med säkerhet, vilket kommer få den där utpekade säkerhetsavdelningen att på sikt i någon mån faktiskt försvinna.

1994 när hon började, var medvetenheten om IT-säkerhet låg och det var i stora drag inte ens en fråga.

Länkar

SIG Security, vår eminenta samarbetspartner:
https://www.sigsecurity.org/

Hennes föredrag (tyvärr, ni har missat det!):
https://www.sigsecurity.org/fokus-kvall-21-4-virtuell-den-digitala-transformationen-staller-nya-krav-pa-cybersakerheten-risker-och-mojligheter-med-det/

28 maj, 2020

Om ID-kapningar och bedrägerier

Bakgrund 

I IT-säkerhetspoddens avsnitt tillsammans med PA Prabert (Vice Koncernchef) och MySafety försäkringar kom givetvis snabbt in på ID-kapningar och bedrägerier eftersom det är något som försäkringsbolaget forskar i. Årligen släpps en rapport i ämnet och trenderna är tydliga. 

MySafety försäkringar bildades 1999 och har specialiserat sig kring försäkringar och just ID-kapningar. 2007-2008 började företaget titta noggrant på ID-kapningar på nätet och hur problemet kom från USA och började eskalera inom Sverige. Till och med näthat finns försäkringar emot där företaget ger hjälp och assistans ifall man utsatts för näthat. 

MySafetys undersökning 

Undersökningen bygger på ID-kapningar som har drabbat både företag (under 250 personer) och privatpersoner. Tyvärr är slutsatsen, sedan undersökningen börjades 2014, skrämmande. Det är många svenska som blir utsatta – 200 000 svenskar drabbas årligen.  

2019 minskade antalet något men redan nu ser man att det ökar igen. 2019 kan bero på att tekniken kommit ikapp attackerarna men nya tillvägagångssätt hittas hela tiden och 2020 pekar alltså uppåt igen. 

Det kanske mest skrämmande är att det görs betydligt fler försök till ID-kapningar. Två miljoner försök görs varje år eller ett försök var tionde minut. Alltså 10% av dessa lyckade. Så man kan enkelt göra slutsatsen att alla kommer någon gång drabbas av ett försök, och i värsta fall, en lyckad ID-kapning. 

Undersökningen visar också att Svenskarna visar ungefär att 50-80% har oro för kapning på nätet.  

Vad är en ID-kapning? 

Ja, enklast kan man säga att man anskaffar sig en annan person identitet där det absolut vanligaste är att använda någon annans bankkort. Nummer två på listan är att teckna lån i en annan person namn. 

Undersökningen visar att det ofta rör sig om att personer blir bestulna på ungefär 5.000 till 10.000 personer vilket kan anses vara en låg summa rent brottsligt, men eftersom det görs så många gånger blir beloppen väldigt stora.  

Dessvärre blir få brott uppklarade och majoriteten av ärenden hos polisen läggs ner.

Mer finns att läsa här.

Har vi blivit bättre? 

Svårt att säga. PA Prabert har sett i undersökningen att BankID har sjunkit rejält men en faktor är gemensam. Det här handlar om Social Engineering där personer luras genom telefonsamtal och i just dessa tider använder bedragarna Covid 19 som anledning till kontakt med personen. 

En kapad identitet bevakas 

MySafety letar efter kapade identiteter. En proaktiv bevakning som undersöker till exempel Dark Web. Kunden laddar ner en att och får en notifieringifall ens personuppgifter eller bankkortsnummer dyker upp på skumma siter. 

Så i bästa fall kan man alltså hinna stoppa ett pågående bedrägeri. Om inte alla brott, så kanske det första för det är vanligt att flera bedrägerier görs på samma stulna identitet.  

Hur ska man tänka då? 

PA Prabert summerar med hur man ska tänka för att skydda sig: 

  • Generellt sett ska man vara misstänksam 
  • Titta på epostadress och webadress 
  • Postnord och andra företag ber ofta inte om BankID eller komma från skumma siter 
  • “Saker som verkar för bra, är förmodligen för bra att vara sant” 
  • Använd starkt och unikt lösenord 
23 maj, 2020

Show Notes för #77 – Säkerhetsläget med mySafety

(från vänster) PA Prabert, Mattias Jadesköld och Erik Zalitis. Inte i bild: alla IT-säkerhetsproblem på Internet och brottslingarna som snor din identitet.

Avsnittet heter 77 – Säkerhetsläget med mySafety
Det spelades in 2020-05-15 och lades ut 2020-05-24.
Deltagare: Mattias Jadesköld, Erik Zalitis och PA Prabert.
Show notes skrivna av Erik Zalitis.

Det är ju ett återkommande citat från mig att ”detta är det sämsta året hittills … åtminstone fram till nästa år”. Och attackerna ökar hela tiden. Men faktum är att den senaste rapporten från mySafety visar på en mer nyanserad bild där förra året har sett en liten minskning av vissa brott. Så vad är på gång?

Denna gång får ni ett sponsrat avsnitt där vi och försäkringsbolaget mySafety går igenom slutsatserna man dragit och hur man kan skydda sig mot dessa id-kapningar.

Mattias frågar ”hur skrämmande är det?”. Svaret är att två miljoner Svenskar varje år utsätts för någon form av försök till id-brott och av dessa lyckas 10% av dem på något sätt.

Åldringar är särskilt utsatta visar det sig, men detta innebär inte att andra är säkra. Faktum är att brottslingarna visat sig vara mästare på den typ av social ingenjörskonst som krävs för att lura till och med den mest skeptiska person. De är proffs på vad de håller på med. Och den som står med skammen att ha blivit lurad, vill ofta inte prata om det. Jag frågade om inte detta gynnar bedragarna, och PA säger att det tyvärr är så.

Länkar

MySafety
https://www.mysafety.se/

Deras rapport, som kom ut 2020-06-04:
https://www.mysafety.se/sites/default/files/mysafety_ID-kapn.rapport_maj_2020_web_0.pdf

16 maj, 2020

Show Notes för #76 – DANE, eller hur vi löser tillit i framtiden

IT-säkerhetspodden, c’est moi… I alla fall denna gång. Mattias är annorstädes, men kommer givetvis tillbaka till podden nästa vecka. Den som har flest skärmar när han dör, vinner…

Avsnittet heter #76 – DANE, eller hur vi löser tillit i framtiden?
Det spelades in 2020-05-16 och lades ut 2020-05-17.
Deltagare: Erik Zalitis
Show notes skrivna av Erik Zalitis.

Så var man alltså ensam denna gång och avsnittet blev ju därför hälften av både mantalet och längden. Men ämnet ligger i luften och idag handlar det om DANE (DNS-based Authentication of Named Entities).

Som jag sa i avsnittet förmår inte längre CAs (certificate authorities) längre garantera att utgivaren av certifikatet verkligen gjort sitt jobb och kollat den som beställde certifikatet innan de utfärdade det. Ett problem DANE kan lösa genom att låta den som driver sin DNS själv gå i god för den.

DANE ser till att:

  • Kryptering nu är obligatoriskt och inte ”om möjligt” som med t.ex. opportunistisk kryptering.
  • Man kan lita på att tjänsten hör till domänen och att utgivaren är den som kontrollerar den.

Och genom att kräva DNSSEC, blir det svårt för en hackare att styra om domänen och ta över den. Är det dock möjligt? Om en hackare kan ta kontroll över en organisations DNS och sedan ändra i både DANE-posterna och pekaren till en webbserver de styr, är det då inte kört i alla fall? Kanske, men det är en ganska komplicerad sak att göra, vilket är själva grejen. Ju fler kontroller som måste bekämpas, desto mindre sannolikhet är att det lyckas.

Länkar

En jämförelse mellan diverse teknologier som finns idag för epost:
https://certified-senders.org/wp-content/uploads/2020/02/Email-Transport-Encryption-STARTTLS-vs.-DANE-vs.-MTA-STS_updated.pdf

Microsofts lägger till DNSSEC och DANE:
https://techworld.idg.se/2.2524/1.733018/exchange-online-dane-dnssec

Vad är DANE?
https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-is-dane/

Steve Gibson skriver om problemet med CAs och har en, nu rätt föråldrad lösning:
https://www.grc.com/fingerprints.htm

En mer iögonfallande bloggpost anför att Dane och DNSSEC är opålitliga eftersom ”myndigheterna” kontrollerar DNSSEC. Vilket är en förklarlig om än paranoid argumentation givet att USAs myndigheter 2015 hade kontroll över t.ex. ICANN:
https://sockpuppet.org/blog/2015/01/15/against-dnssec/

… Fast, hans blogginlägg skrevs ju som sagt 2015, innan Icann slutade vara under USAs kontroll, så det argumentet håller inte längre. Resten av dem är ganska tveksamma också, men för att visa några motargument, kan man i alla fall lära sig något genom att titta igenom sidan.

Scroll to top