Texter

14 februari, 2021

#111 – Hackers vs. Gamers

Erik Zalitis och Mattias Jadesköld tycker en hel del om dagens ungdom och deras spelande. Borde inte de gå ut och spela fotboll istället? På min tid… Jag säger bara det….

Avsnittet: #111 – Hackers vs. Gamers
Inspelat: 2021-02-12 (publicerat 2021-02-14)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Medan du lyssnar

Så spel är ingen lek, alltså? De flesta datorspelarna är de som spelar ibland, som jag och Mattias. Men det finns en stor klunga ”gamers”, där spelandet är en livsstil. Den som lär sig att bli en duktig spelare är också sannolik att lära sig programmering och kanske senare att knäcka system. Det sistnämnda är inget problem så länge de fattar att inte börja sin bana som cyberbrottsling utan håller sig till att knäcka sina egna system eller andras med deras tillstånd.

Men för ”gamern” som börjar gå denna bana, är det inte främst pengarna, de snabba bilarna eller kanske att bli en hackervärldens Lex Luthor som lockar. Det handlar om tillhörighet och att vara någon i gruppen.

Men de riktiga cyberbrottslingarna vakar över de unga nykomlingarna för att kunna värva dem. Vad kan man göra åt detta och vad görs? NCA anser att ett allvarligt samtal med den nykläckta hackaren om var resan leder och att man kan få allt hackingen erbjuder på laglig väg, kan lösa problemet tidigt.

Säkerhetsindustrin skriker efter folk som kan hacka, säkra och bygga arkitekturer inom området. Men för den som valt den olagliga vägen är dörren dit stängd.

I got a little list…

… Sen det andra problemet: spelarna och spelföretagen är en stor måltavla för hackare själva.

One reason that we believe the gaming industry is an attractive target for hackers is that criminals can easily exchange in-game items for profit,” Martin McKeay, Security Researcher at Akamai said in a statement. “Furthermore, gamers are a niche demographic known for spending money, so their financial status is also a tempting target.

Vad kan man göra med en identitet? Mycket, men mina tankar är främst:

  • Kartlägga personer.
  • Förberedelse för ID-kapning.
  • ”Credential stuffing” för att ta sig in på andra ställen med användarnas inloggningsuppgifter.
  • Sno spelarens utrustning i form av rustningar och vapen och sälja dem.
  • Köpa saker för spelarens pengar.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
7 februari, 2021

Show Notes för #110 – Det ryska cyberkriget

Seriöst, den går att köpa på Internet.

Avsnittet: #110 – Det ryska cyberkriget
Inspelat: 2021-02-05 (publicerat 2021-02-07)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Det går inte att höra, men inspelningen plågades av en del tekniska misöden, missförstånd och omtagningar. Och precis som Phil Spector fick ta hand om Beatles 250 timmar av osorterade inspelningar för att göra skivan ”Let it be”, har jag nu här lyckats foga ihop tagningarna till en helhet. Tror jag tagit bort typ 10-15 minuter material. Och det hela hänger ihop väl.

För att kunna förstå de Ryska hackergrupper som varit mycket lyckade i att göra påverkansaktioner, måste vi diskutera Rysslands historia de senaste 100 åren. Det gör vi de första 11 minuterna i programmet.

Från Ryska revolutionen där Bolsjevikerna tog över, genom det kalla kriget då alla stormakterna spionerade på varandra och fram till idag. Ryssland hade alla anledningar att bli bra på att kunna spionera, övervaka och påverka. Vi hade ett mycket initierat samtal med Fredrik Eriksson på Försvarshögskolan i augusti där vi i detalj gick igenom kalla kriget.

Här springer vi i rask takt igenom det för att bygga en bakgrund, sedan används det följande två tredjedelarna till att diskutera hur en av Ryssarnas mest fruktade hackers, APT28 går tillväga för att göra sitt jobb. Och det är IDAG. Det är HÄR och det är NU.

Kontroversiellt?

Är vi? … tydligen…

Vi försöker undvika att ta ställning, men det var absolut ingen tillstymmelse till försiktighet när Mattias sa ”Titta på idag, det är väl fortfarande en diktatur?”. Jag försökte korrigera honom, men insåg rätt snabbt att han har rätt. Alltså, det är ingen åsikt utan ett konstaterande.

För att kalla ett land en demokrati är en ohindrad möjlighet att regelbundet kunna rösta fram representanter eller personer (direktdemokrati) till att leda landet på riks- och lokalnivå ett krav. Det går inte att komma ifrån.

Och nu kan ju Putin förlänga sin mandatperiod så länge han lever. Det innebär att nästa val blir när han fallit från. Julius Caesar nickar från sin grav. Och då är det faktiskt bara att erkänna att det är omöjligt att se Ryssland som demokratiskt. Det fallet på sin orimlighet.

Sen kanske vi är finkänsliga som en släggfabrik, men Sovjet föll faktiskt och vi har gott om data att man förtryckte sin befolkning. Någon som vill säga emot?

Jag hör ingenting här…

Men till det viktiga, APT28

”Advanced Persistent Threat” 28 eller Fancy bear attackerar idag huvudsakligen med fyra mönster:

  • Installera malware via spearphishing
    • Ofta skickar man dokument med skadlig kod eller länkar till websidor innehållande skadlig kod som man räknar med kommer drabba utvalda grupper. Det kan vara folk som jobbar i vissa branscher, organisationer eller företag.
    • theguardiannews.org var en fejksite som kopplats till APT28.
  • Lura till sig tillgång till webmail genom spearphising
    • Man länkar till onedrive-office365.com eller liknande fejktsida i ett mail.
    • Detta mail ber användarna resetta sitt lösenord eller logga in för att kunna läsa ett dokument.
    • När användare når siten, ser den ut som en riktig inloggningstjänst, men är istället byggt för att locka av användaren deras riktiga namn och lösenord till t.ex. sin mail.
    • Man kan även lura användaren att godkänna auktorisering.
Denna ska du ALDRIG klicka på om du inte förväntar dig denna ruta och vet EXAKT vad den gör. ”Just say No!!!”.
  • Infektion av legitim websida
    • Man kan hacka en legitim sida och sätta upp skadlig iFrame som attackerar användaren webbläsare. Denna attack är mer komplicerad med moderna webbläsare, men principen fungerar fortfarande.
    • Exempelvis utnyttjades den vid en attack mot Polska myndigheter 2014.
    • Resultat: APT28 är inne på nätverket
  • Åtkomst genom Internet-anslutna webservrar
    • Scannar servern efter sårbarheter.
    • Attackerar opatchade sådana.
    • Kommer sedan in och förflyttar sig därefter lateralt genom nätverket.
    • Resultat: APT28 är inne på nätverket!

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Länkar

Ryssland och hackning:
https://www.xn--itskerhet-x2a.com/ryssland/

Tveksamt om de verkligen kom så långt med detta:
https://www.reuters.com/article/us-russia-usa-cybersecurity/russia-says-it-is-starting-to-resume-u-s-cyber-cooperation-tass-idUSKBN1WW1TL

Fancy a bear? A fancy bear, even:
https://en.wikipedia.org/wiki/Fancy_Bear

Rapporten Mattias pratar om. Utmärkt tidslinje:
https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

Revolutionen som formade Ryssland:
https://www.so-rummet.se/kategorier/historia/det-korta-1900-talet/ryska-revolutionen

IT-säkerhetspodden: Från det kalla kriget till dagens spioner på nätet
https://www.itsakerhetspodden.se/podcast/88-fran-det-kalla-kriget-till-dagens-spioner-pa-natet/

All right, då… Dags för lite skamlös självreklam. Köp Mattias barnbok!:
https://www.bokus.com/bok/9789180072632/cyberdeckarna-gisslanprogrammet/

31 januari, 2021

Show Notes för #109 – Hur arbetet blir proaktivt

Här sitter jag framför (eller är det bakom?) mikrofonen alldeles innan vi startar inspelningen.

Avsnittet: #109 – Hur arbetet blir proaktivt
Inspelat: 2021-01-29 (publicerat 2021-01-31)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Lyssna på avsnittet

Att fundera på medan du lyssnar

Man skulle faktiskt kunna säga att detta avsnitt är en fortsättning på det om Insider-hoten, då det diskuterar på en mer konceptuell nivå hur problemen kan lösa genom att uppnå ett proaktivt beteende istället för att reagera i ren panik som vanligt.

Vi kommer tillbaka till ämnena ”skapa en säkerhetskultur” och ”kunna upptäcka hot”. Men denna gång hör det till en mycket bredare blick över hur ett företag eller organisation ska kunna försvara sig.

Så… Proaktivitet kan väldigt enkelt ses som två beteenden:

  • Nostradamus-läget, där man försöker förutspå attacker.
  • Reagera-snabbt-läget, där man reagerar på indikatorer på att något på gång innan attacken egentligt börjar lyckas. Denna Proaktivitet är dock även en form av reaktivitet, dock inte på fullbordat faktum. Tänk dig mer som att gå till doktorn för att få veta om det där konstiga födelsemärket är farligt eller inte.

Förresten, en triljon är en etta med 18 nollor efter sig. Alltså 10¹⁸. Nu vet du mer en vad jag gjorde när jag spelade in avsnittet.

Din verktygslåda

… Och här är Mattias, redo att programleda.

Threat hunting

”Pentestning med silkesvantarna på” eller kanske ”etisk hackning med vapnen säkrade”. Man tittar på miljön som en hackare och försöker förstå hur långt en sådan skulle kunna ta sig om det vore på riktigt. Detta är något de flesta i IT-säkerhetsbranschen gjort när de går igenom det som ska installeras. Men här sker det mer systematiskt och man går då igenom allting steg för steg.

En kund skulle kunna be konsulten gå igenom miljön och svara på hur långt en Ransomware-attack skulle kunna gå.

Ethisk hacking (Pentester)

Kan en konsult bryta sig in? Och hur långt kommer denne? Ibland kanske man inte kan ta sig hela vägen, men dock göra miljön otillgänglig eller radera information. Kanske är ett total övertagande i sig inte heller det värsta som kan hända, utan det är när organisationens data kopieras av hackarna och därför läcks. Detta är ganska garanterat att ske som en effekt av ett totalt övertagande, men det behöver inte gå så långt för att känsligt data ska bli tillgängligt för hackarna. Så även mindre attacker som inte ”når hela vägen” kan vara förödande. Många attacker mot klienter bygger faktiskt på att INTE ta över systemet, eftersom data kan nås av den användaren som är inloggad och då kan även hackaren göra det. På det sättet är det lättare att inte skapa larm i övervakningen men fortfarande få tillgång till datat. Case in point ”Living of the land” där man använder program och funktioner som redan finns på datorn och oftast nöjer sig med att köra dem med den inloggade användarens rättigheter.

Så ett pentest är nödvändigt för att kunna stänga alla vägar som går att hitta. Jag säger att med tillräckligt med tid, kan en pentestare ”ta sig in”. Detta borde kanske klargöras lite. ”Ta sig in” är ordmässigt ett totalt övertagande, men jag vill faktiskt även inkludera att man läcker data, gör systemet otillgängligt eller kan ändra data utan rättigheter i detta begrepp.

Pentestaren bryter sig in och dokumenterar hur detta gick till.

Bygga en säkerhetskultur

En repetition från avsnittet om Insiders men ”kulturskapande” är överlägset att bara utbilda folk som sedan glömmer allt. Skapa en medvetenhet där alla kollektivt minns, skyddar och förutsäger attacker. Grupptryck har en negativ klang, som det väl förtjänar, men att använda det för att skapa ett ”På den här arbetsplatsen gör vi inte såhär”-tänkande kan istället tvinga fram ett säkerhetsmedvetet beteende.

DISA (digital informationssäkerhetsutbildning för alla)

Så hur börjar man bygga denna kultur? Prova DISA – en sentida variant av ECDL, men fokuserande på säkert beteende istället för att lära ut hur man använder sin dator (vilket idag är ganska överspelat).

MSB ligger bakom DISA, som har en mycket bra ”frågesport”-funktion där du kan testa hur du beter dig i riktiga situationer. Det är hygglig trivialt, men inte så mycket menat att lära folk självklarheter som att faktiskt se till att dessa tankar finns fräscht i minnet.

En mycket användbar strategi för alla typer av organisationer som inte har egna motsvarigheter.

Omvärldsbevakning

Två saker: du måste veta vad som händer i det stora och du måste veta vad som händer nära dig. När dig är både i din bransch, ditt fysiska område, med dina konkurrenter och hur attacker och försvar utvecklas.

Definition av ”omvärlden”: (substantiv) INTE DU!

Det vill säga allt du inte har direkt kontroll över. Larvig definition? Definitivt inte. Tänk på detta när du bygger din proaktiva säkerhet.

Här är de bitarna vi inte visste vad vi skulle göra något med…

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

”Frågesport” a’ la DISA:
https://webbutbildning.msb.se/utb/DISA/

En inledning tilll Proaktivt försvar:
https://blog.morphisec.com/what-is-proactive-cyber-defense

Olika taktiker för detta:
https://www.entrustsolutions.com/2020/11/13/proactive-vs-reactive-cyber-security/

Jag ger inte mycket för denna artikel. Det refererar till en undersökning som finns på en Casino-site:
https://chiefexecutive.net/almost-90-cyber-attacks-caused-human-error-behavior/

Homer Simpson vet hur det är med statistik (Vilket jag ironiskt nog felciterar i avsnittet):
https://www.youtube.com/watch?v=sm7ArKlzHSM

Simpsons paradox har inget att göra med Homer, men är ett läskigt bevis på hur man kan misslyckas med att tolka statistik:
https://www.youtube.com/watch/ebEkn-BiW5k

Hur definierar man omvärldsbevakning?
https://www.informationssakerhet.se/metodstodet/analysera/#omv%C3%A4rldsanalys

24 januari, 2021

Show Notes för #108 – De sju dödssynderna och säkerhet

Djävelen behöver inte göra ont att titta på … Men att råka ut för, är en helt annan sak.

Avsnittet: 108 – De sju dödssynderna och säkerhet
Inspelat: 2021-01-22 (publicerat 2021-01-24)
Deltagare: Erik Zalitis, och Mattias Jadesköld

När man börjar med att citera Ingemar Bergmans det sjunde inseglet, har man satt tonen. Så är det bara, men nu har den milstolpen swishat förbi och vad annat kan vi göra än att fortsätta vägen framåt och hoppas på det bästa?

Idén var svår att genomföra, eftersom religiösa texter inte särskilt ofta handlar om IT-säkerhet. Skulle t.ex. syndafloden vara guds DDOS-attack?

1. Högmod

Komplexitet – Samma tillverkare av alla delar i systemet.

Enskilda komponenter får för mycket makt.

2. Girighet

Slarv med säkerhetsarbetet och att ekonomi före säkerhet
Man får ofta det man betalar för.

Mattias tycker situationen blivit bättre i detta område, medan Erik ställer sig undrande även om han håller med om att säkerhet är lättare att motivera idag än förut. Och sen är ”det är billigt” inte längre ett så bra argument heller när man ska sälja en säkerhetslösning.

”Det finns ingen budget för säkerhet…. Fast helt plötsligt gör det det” (dvs efter att systemet blivit hackat)

Sheep security… Eller hur var det nu?

3. Vällust

Kära inte ner dig i en produkt! Det finns många förmodligen andra som passar bättre och som är billigare. Utgå från behovet istället för att välja den där produkten du såg på en mässa eller alltid har kört.

4. Avund

Viktigt att titta på sin egen förmåga och sin organisations resurser. Vad behöver vi för skydd? Hur fungerar det bäst för vår organisation?

5. Frosseri

Här är ett beteende. Kan se det på föreläsningar och i forum. Man vill raljera, beskriva hur dåligt andra hanterat saker utan att komma med lösningar. En slags överdriven njutning.

Man vill gärna slänga upp PPT-slides med FBI-artiklar och sånt som är ”coolt” men egentligen inte relevant.

6. Vrede

Den synden som jag ser minst av i säkerhetsbranschen. Men inget bra verktyg att ta till. Tänker på UFC-bossen som vrålar till de som streamar olagligt UFC. Det blir ju mer en ögonöppnare.

Om man ska översätta det så är det smart att göra som Addtech. Beskriv vad som hänt. Häng inte ut attackerarna (de får bara publicitet och kanske än mer blodad tand att attackera) och arbeta strukturerat.

7. Lättja

Säkerhetsarbetet utvecklas inte och kan inte skydda mot nyare attacker som dyker upp (Ingen omvärldsbevakning. Detta är inte slarv per se.

Eller att man inte kan upptäcka att attacker händer. Eller vad som kopplas in, eller vad som händer med enheter som slutar fungera korrekt, eller anomalier.

Saker konfigureras fel på grund av diverse anledningar.

Lösningen för de flesta problemen: TÄNK – TÄNK FÖRE. Detta är troligen en dygd (Vi måste ta detta i ett uppkommande avsnitt!)

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

17 januari, 2021

Show Notes för #107 – Adjö kära gamla Flash

Avsnittet: #107 – Adjö kära gamla Flash
Inspelat: 2021-01-15 (publicerat 2021-01-17)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Goodbye flash:
https://www.youtube.com/watch?v=EBPH6O68UY4

10 januari, 2021

Show Notes för #106 – Hotet inifrån

Ok, allesammans, här är Lisa-Kalle, vår nya ekonomichef. Hen har av egen vilja bett att få intervjua er alla för att få veta mer om ert jobb och vad ni har för privata intressen. Hen är hygglig, men gillar sin Stetsonhatt och sin trenchcoat. För att inte kränka hens känslor och visa en inkluderande företagskultur ska vi givetvis vara öppna för hens klädval och att hen gillar att gå runt med en blomma med någon glaspryl i mitten på i kavajslaget.

Avsnittet: #106 – Hotet inifrån
Inspelat: 2021-01-09 (publicerat 2021-01-10)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Vi kan ju inte låta bli att nämna ”Dr Strangelove” denna gång heller. Scenen då Sovjets president springer runt i USAs krigsrum och fotograferar hemliga dokument med en mikrokamera är hejdlöst rolig och kan räknas som någon form av insiderbrott… trots att han är outsider… Kanske man kan se honom som en konsult inplockad i ett nödläge, eller så ska man inte tänka så mycket sådant där i en svart humor-baserad film.

Så vilka tre (alltid tre-tal!) insiders finns det?

  • Den gör fel och skickar ut data eller gör skada.
  • Den som är lurad av någon annan och gör saker utan att förstå konsekvenserna.
  • Den som är illvillig och vill göra skada, tjäna pengar eller hjälpa någon på utsidan.

Det är lätt att alltid tänka på den illojale medarbetaren när man pratar insiders, men det är att förenkla det hela uppenbarligen. Men svårigheten är att den som gör misstag och den som blir lurad av någon (i viss mån) kan stoppas relativt effektivt. Den som är lurad och guidas av en van cyberbrottsling eller den som själv slår sig in på cyberbrottets banan är så pass svåra att stoppa att det kan vara rent av omöjligt att hindra detta.

Mattias drar sedan följande exempel på insiderbrott:

  • Microsofts databas läckte ut på grund av anställdas oaktsamhet. (2019)
  • General Electric-anställda stal affärshemligheter för att få en affärsfördel.

Det är två olika händelser men de är båda exempel på hur denna typ av problem trots att förutsättningarna skiljer sig radikalt.

Lösningen är att satsa på att:

  • Hindra läckage med DLP-lösningar.
  • Införa mikrosegmentering.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.
  • Se till att övervaka system- och nätverkshändelser som tyder på olämpligt beteende även för de med godkända rättigheter.
  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Förankra policies och krav på sänkta behörigheter med ledningsgruppen då detta ger IT-avdelningen den kraft som krävs för att kunna genomföra dessa. Utan ledningsgruppen påskrift kan användarna motsätta sig att acceptera striktare policies.

Errata

  • Erik berättar om Terry Childs som höll San Franciscos fibernätverk gisslan att detta var möjligt för att de inte tog ifrån honom rättigheterna när han fick sluta. Det är i stort sätt vad som hände, fast han satte faktiskt igång att låsa andra ute på grund av att han kom i bråk med sina medarbetare om en policy för att lämna ut lösenord. Och detta skedde INNAN han fick sparken. Det var alltså mer av att han hade för mycket rättigheter snarare än att de inte hade fungerande livscykelhantering. En liten korrigering, men ändå viktig att göra.

Länkar

Fängelse för att han låste administratörerna i San Fransiscos nätverk ute för denna Terry Childs:
https://www.govtech.com/security/Former-San-Francisco-Network-Admin-Terry.html

Anders Sandberg pratar om att skapa en säkerhetskultur och hantera informationssäkerhet i verkligheten.
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

Vi pratar om attacken mot AddTech, som visserligen inte var ett insiderbrott, men visar på problemet med lateral förflyttning:
https://www.itsakerhetspodden.se/podcast/71-attacken-mot-addtech/

Det må ha varit över 20 år sedan, men Love letter visar på faran med att inte begränsa användares rättigheter:
https://www.itsakerhetspodden.se/podcast/65karleksbrevfranfilippinerna/

Informationsläckage, som är vanlig effekt av insiderbrott är ett ämne i sig:
https://www.itsakerhetspodden.se/podcast/63-informationslackage/

Mikrosegmentering och Zero-trust network hör ihop:
https://www.itsakerhetspodden.se/podcast/8-zero-trust-networks/

19 december, 2020

Show Notes för #105 – Israel och Enhet 8200

The Matrix är alltid spännande, men denna version kommer med en flagga också!

Avsnittet: 105 – Israel och Enhet 8200
Inspelat: 2020-12-18 (publicerat 2020-12-20)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Det är inte ett lätt ämne att ta upp, eftersom konflikten i Mellan-Östern varit en stor del av vår efterkrigshistoria. Och försöker inte ens. Detta avsnitt talar om Israels omstrukturering av sin underrättelseverksamhet efter 1973, när de oväntat attackerades.

Det mesta i avsnittet är självförklarande, men några viktiga punkter borde ändå tas upp.

Övervakning och säkerhet

Vi har pratat övervakning många gånger och personligen vill jag inte ännu en gång tala om frågan om ”privatliv <-> säkerhet”. Vi har redan gjort så när vi gick igenom ”Hemlig data-avläsning” och ”Ansiktsigenkänning”. Så när Mattias undrar om Israels underrättelsetjänst blivit för bra för sitt eget bästa, syftar han ju på nyheten att Israel under många år övervakat sina egna medborgare.

De flesta vet att jag är mycket tveksam till övervakning av invånare, eller till och med ordentligt negativ till det. Men detta är inte rätt tillfälle för en sådan diskussion (igen), så vi diskuterar det som någonting som de flesta länder redan gör och att det inte kan räknas till paranoia att förvänta sig det. Att värdera detta undviker vi så gott det går i detta avsnitt, istället försöker vi hitta motivationen till inhemsk övervakning och se varför det sker utan att nödvändigtvis anta illvilja.

Framtiden

Då avsnittet främst talar om historien och händelser i den exakta nutiden, finns inte riktigt uttrymme att spekulera om framtiden. Detta sker istället i andra avsnitt.

Men det är nog inte så svårt att gissa att underrättelsetjänsterna kommer att slåss om att spela i division A, B eller C. Och att nya metoder för påverkan, övervakning och reflexiv kontroll. Vi har givetvis pratat om det från historia till framtid i avsnittet med Fredrik Eriksson från Försvarshögskolan.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

DN om övervakningen av det egna folket:
https://www.dn.se/varlden/sakerhetstjansten-fick-klartecken-att-spara-mobiltelefoner/

Alla underrättelser behöver ju inte vara tekniska i sin kärna:
https://sv.wikipedia.org/wiki/HUMINT

Cyberattack mot Israel december 2020:
https://www.timesofisrael.com/israels-supply-chain-targeted-in-massive-cyberattack/

Enhet 8200:
https://en.wikipedia.org/wiki/Unit_8200


6 december, 2020

Show Notes för #103 – GDPR 2.0 med Agnes

Avsnittet: #103 – GDPR 2.0 med Agnes
Inspelat: 2020-11-27 (publicerat 2020-12-06)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.

30 november, 2020

Show Notes för #102 – Schrems II med Agnes

Där de tuffa typerna bor…

Avsnittet: #102 – Schrems II med Agnes
Inspelat: 2020-11-27 (publicerats 2020-11-29)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.

Schrems 2-domen sänder svallvågor över hela Europa. Men Agnes kan ge sakliga besked om vad det faktiskt innebär i verkligheten. Upplysande och även lugnande. Men detta innebär inte att det bara är att slappna av och fortsätta som om ingenting hänt.

I samarbete med SIG Security dessutom.

Länkar

Schrems2 – vad innebär det?

SIG Security:
https://www.sigsecurity.org/gdpr-privacy-shield-schrems-ii-nytt-poddavsnitt/

22 november, 2020

Biometrisk teknik på framfart

Avsnittet: #101 – Biometri med Fingerprints
Inspelat: 2020-11-20 (publicerats 2020-11-22)
Deltagare: Erik Zalitis, Mattias Jadesköld och Christian Fredriksson (VD, Fingerprints)

Svenska Fingerprints leder det globala utvecklingsarbetet gällande biometrisk teknik. Christian Fredriksson drivs av att kunna erbjuda säkrare lösningar som dessutom är enklare att använda för alla. Han har bakgrund i både Nokia och F-Secure.

Christian Fredriksson

Hur fungerar betalning med biometri?

En kontaktlös kortbetalning sker genom att sätta fingret på betalkortets sensor

När vi betalar idag använder vi ju pinkod, vilket inte är någon nyhet. Dessutom kan vi göra helt kontaktlösa betalningar under 500 kronor vilket betyder att om någon kommer över kortet kan obehörig göra betningar upp till 500 kronor med kortet utan pinkod.

Det kortet som Fingerprints har utvecklat, och som rullas ut i Frankrike och Schweiz, har en sensor för att registrera användarens fingeravtryck. Vid en betalning lägger kunden helt enkelt fingret över sensorn och blippar mot terminalen. Ingen kod. Ingen kontakt.

Biometri påskyndat av pandemin

Christian berättar också att pandemin har fått en rejäl skjuts i samband med pandemin där man kräver mer och mer kontaktlösa system. Bland annat beskriver han ett sjukhus i Korea där personal kan låsa upp dörrar till avdelningar med iris. Att just lotten föll på iris som biometrisk källa blev naturligt. Läkare och sjuksköterskor bär ju munskydd och handskar vilket gör det svårt med fingeravtryck och ansiktsigenkänning.

Hur sparas mitt fingeravtryck?

Informationen om fingeravtrycket sparas endast i kortet och bygger på en algoritm att känna igen ditt finger (eller fler fingrar om du registrerar fler), och vartefter du åldras och blir rynkigare, följer kortet med och lär dina nya drag. På så vis kommer betalningen även fungera under en lång tid.

Eftersom informationen sparas krypterat i kortet skickas det alltså inte till något moln eller så och det går inte att få ut informationen om kortet kommer i orätta händer, så att säga.

Hollywood-myter

Vi har sett det i spionfilmer hur skurkar skär av finger (eller ögat) för att göra en inläsning och öppna den hemliga dörren. Funkar det?

Nej, inte alls. Sensorn i kortet har algoritm för att se att fingret ”lever” så förhoppningsvis ska alla få behålla sina fingrar i framtiden med dessa kort.

Betala i butiker i all ära men hur gör man på webben?

En betalning via en webbplats skulle fungera på samma vis med att nyttja sitt fingeravtryck istället för de där tre siffrorna som finns på kortets baksida (CVV eller CVC).

Vi ser alltså enklare betalningsmetoder framför oss som är mer säkra. Ljus framtid alltså! Det ska bli en riktigt spännande utveckling att följa där biometrisk teknik är på frammarsch.

Fingerprints kampanjfilm ”Ingen är som du!”
Facebook Spotify Soundcloud Apple Rss

Senaste avsnitten

Scroll to top