Bli säker-podden

Nikka Systems

”Bli säker” är podden som gör dig lite säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor. Podden produceras av Nikka Systems. Avsnitten publiceras under CC BY 4.0-licens.

  1. 1 DAY AGO

    #347 AI-modellen Mythos skrämmer världen

    Förra veckan presenterade AI-företaget Anthropic sin senaste AI-modell ”Mythos”. Anthropic valde att inte släppa den direkt till allmänheten. De meddelade i stället att enbart en utvald skara företag får förhandsåtkomst till modellen. Det hade nämligen visat sig att Mythos var oroväckande bra på att hitta sårbarheter. Tilltaget hade kunnat avvisas som en marknadsföringsinsats. Anthropic gör sig redo för en börsnotering och Mythos-lanseringen har gett företaget enorm publicitet. Tyvärr visar Anthropics egna upptäckter att påståendena är mer än bara hype. KTH-professorn Pontus Johnson säger rent av att han ”inte har sett ett cyberhot som har varit så akut någonsin”. I veckans podd pratar Peter och Nikka om den allvarliga situationen. Nikka förklarar att allt hänger på hur stort framsteg som Mythos har gjort för AI-modellers förmåga att upptäcka och utnyttja sårbarheter. Om framsteget är för stort kan det rent av bli samhällsfarligt. Sårbarheter kan då börja upptäckas och utnyttjas i ett tempo som vida överstiger världens förmåga att åtgärda sårbarheterna. Podduon tipsar också om konkreta åtgärder som Cloud Security Alliance har låtit namnkunniga cybersäkerhetsspecialister sammanställa. Peter och Nikka avslutar med att diskutera varför Anthropics nya uppfinning inte bara utgör ett hot utan också kan ha blivit räddaren i nöden. Se fullständiga shownotes på https://go.nikkasystems.com/podd347.

    37 min

  2. 10 APR

    #346 Falska recensionssajter förpestar webben

    Förra veckan avslöjade Plånboken i P1 hur falska recensionssajter köper annonser på Google. När någon söker efter populära teknikprodukter visas först sökresultatsliknande annonser för webbplatser som påstås ha testat många produkter ur produktkategorin. I själva verket är recensionssajterna bara reklampelare för utvalda produkter. Jämförelserna är påhittade och recensenterna likaså. Under mars månad kartlade Bli säker-podden samma falska recensionssajter och några därtill. I veckans avsnitt pratar Peter och Nikka om problemet med dessa falska sajter och hur långt sajtägarna går för att vilseleda konsumenterna. Peter och Nikka pratar också om ett nytt skydd mot Clickfix-attacker i Mac OS. Clickfix-attacker (till exempel falska captcha-rutor) har enligt Microsoft Defender Experts blivit en av angriparnas vanligaste metoder för initial åtkomst. Apple har i sin senaste uppdatering av Mac OS adresserat problemet genom att helt enkelt varna användare som försöker klistra in kommandon i terminalen. Veckans poddavsnitt bjuder också på en statusuppdatering kring Chat Control 1.0 och en genomgång av den så kallade Browsergate-skandalen. Microsoftägda Linkedin har ertappats med att skanna vilka webbläsartillägg som användarna har installerat, inklusive webbläsartillägg som kan indikera allt från religiösa åskådningar till politiska åsikter. Linkedin hävdar att de inte använder informationen för att dra några slutsatser om sina medlemmar. Se fullständiga shownotes på https://go.nikkasystems.com/podd346.

    39 min

  3. 27 MAR

    #345 Hackade Iphone-mobiler

    Många nationsunderstödda hotaktörer och underrättelsetjänster köper in externt utvecklade spionprogram för att kunna infektera sina måltavlors mobiler. Verktyget som kallas Coruna misstänks ha utvecklats för sådana ändamål. I början av mars avslöjade Google och Iverify att Corunas ursprungliga utvecklare hade förlorat kontrollen över verktyget. En ekonomiskt motiverad hotaktör från Kina hade lagt vantarna på verktyget och börjat utnyttja det för att infektera ouppdaterade mobiler bland allmänheten. Senare samma månad kom nyheten om Darksword. Det är ett verktyg som, likt Coruna, inledningsvis utnyttjades i riktade attacker mot högprofilerade måltavlor. Samma verktyg används nu för att attackera vanligt folks mobiler. Tidigare i veckan publicerades Darkswords källkod på Github, fritt tillgängligt för världens alla angripare. När Coruna och Darksword började missbrukas på bred front hade Apple redan åtgärdat sårbarheterna som verktygen utnyttjade. Problemet är att långt ifrån alla Iphone-ägare installerar säkerhetsuppdateringarna. De som har en ouppdaterad Iphone kan nu bli infekterade av att bara besöka en skadeprogramspreparerad webbsida. Spionprogrammen är konfigurerade för att stjäla bland annat kryptovalutaplånböcker, lösenord, bilder och meddelandehistorik. Situationen förvärras av att Apple slutar underhålla gamla Iphone-modeller. Historiskt har Apple enbart erbjudit samtliga säkerhetsuppdateringar till de två senaste IOS-versionerna, vilka för närvarande är IOS 26 och IOS 18. Efter avslöjandena om Coruna och Darksword valde Apple lyckligtvis att även uppdatera äldre IOS-versioner. Apple har nu släppt uppdateringar som åtgärdar sårbarheterna på Iphone 6s och senare. Iphone 6s är en över tio år gammal mobil. I veckans poddavsnitt pratar Peter och Nikka om Coruna och Darksword. De upprepar samma rekommendation som de har gett sedan poddstarten: kom ihåg att installera säkerhetsuppdateringarna så fort de släpps och att byta mobil när mobiltillverkaren slutar underhålla mobilmodellen. Se fullständiga shownotes på https://go.nikkasystems.com/podd345.

    37 min

  4. 20 MAR

    #344 Attackerna mot CGI och Viking Line

    Förra veckan riktades världens blickar mot Sverige. En utpressargrupp eller ensam hacker vid namn Bytetobreach påstod sig ha stulit källkoden till hela Sveriges ”e-gov platform”. De publicerade källkoden på ett nätforum, så att andra hackare skulle kunna leta efter sårbarheter i koden. Källkoden stals från tjänsteleverantören CGI. De levererar bland annat inloggningslösningen som flera myndigheter använder till sina publika webbtjänster. När medborgare ska logga in på exempelvis Skatteverket eller 1177 skickas de till en inloggningssida på domänen funktionstjanster.se, vilken drivs av CGI. CGI-tjänstens centrala punkt gjorde att många myndigheter påverkades av intrånget. MCF (Myndigheten för civilt försvar) stängde sin e-tjänsteportal som en säkerhetsåtgärd. En vecka senare är portalen fortfarande otillgänglig. Enligt CGI är dataläckan mindre allvarlig än utpressarna påstår. CGI skriver att intrånget bara påverkar ”ett begränsat antal interna testservrar” och att den läckta källkoden tillhör ”en applikation som var planerad att tas ur drift”. Skatteverkets IT-direktör avfärdar också påståendet om att hela Sveriges ”e-gov platform” skulle ha påverkats. Han poängterar att sådan plattform, helt enkelt, inte existerar. I veckans poddavsnitt pratar Peter och Nikka om konsekvenserna av Bytetobreachs attacker mot Sverige under den gångna veckan. CGI-attacken är nämligen inte den enda. Samma grupp ligger bakom intrånget hos Viking Line. Då stal de passageraruppgifter, vilka nu ligger nu ute till försäljning. Bytetobreach påstår sig därutöver ligga bakom attacken mot företaget som driver köpcentrumen Mall of Scandinavia och Nacka Forum. Då stals person- och kontaktuppgifter till köpcentrumens kundklubbsmedlemmar och nyhetsbrevsmottagare. Se fullständiga shownotes på https://go.nikkasystems.com/podd344.

    32 min

  5. 13 MAR

    #343 Kan Content Credentials verifiera äkta bilder?

    Tiden då AI-genererade bilder innehöll flagranta misstag är förbi. Dagens bildgeneratorer kan skapa bilder som ser helt autentiska ut. Videogeneratorerna blir också allt bättre. Till och med SVT har råkat publicera ett AI-genererat videoklipp i tron om att det visade en dokumenterad händelse. Förra veckan twittrade Carl Bildt en bild på resterna av ett attackerat radarsystem. I gruppanmärkningarna och kommentarerna hävdade hans följare att bilden var AI-genererad. När SVT Verifiera granskade bilden visade det sig att anklagelserna var felaktiga. Bilden var faktiskt äkta. De två exemplen visar tydligt på problemet som har uppstått. Publicister har svårt att veta om videoklipp är äkta. Mediakonsumenter börjar samtidigt bli så skeptiska att de avfärdar äkta bilder som AI-genererade. Koalitionen som kallar sig C2PA har utvecklat en teknik för att minska problemet. ”Content Credentials” ska göra så att mediakonsumenter kan se vilken publicist som har publicerat en bild eller ett videoklipp. Informationen signeras kryptografiskt och bäddas in i bilderna och videoklippen. Det gör att informationen följer med även om en användare återpublicerar innehållet på andra plattformar. Tekniken gör också att publicister kan verifiera äktheten på bild- och videomaterial. Kompatibla kameror signerar fotografierna och videoklippen direkt när de spelas in, så att redaktionerna kan säkerställa att materialet är äkta. Fotografier kan till och med redigeras i kompatibla appar, till exempel Photoshop eller Lightroom. Då sparas ändringshistoriken i bildfilen, så att redaktionen kan se vilka ändringar som har gjorts, till exempel vilka delar av bilden som har beskurits. I veckans poddavsnitt pratar Peter och Nikka om hur C2PA-initiativet ska öka trovärdigheten för äkta bilder och videoklipp. Podduon lyfter samtidigt flera nackdelar som tekniken dras med. Nikka avslutar med att berätta om en bugg i en Nikon-kamera. Buggen gjorde att en fotograf kunde lura kameran att signera en manipulerad bild som om den vore äkta. Se fullständiga shownotes på https://go.nikkasystems.com/podd343.

    38 min

  6. 6 MAR

    #342 Säker AI och åldersverifieringshysteri

    I mitten av februari blockerade Europaparlamentet AI-funktionerna på lagstiftarnas enheter. Enligt ett internt mejl som har delats med Politico infördes blockeringen på grund av risken för obehörig åtkomst till datan. Merparten av dagens AI-tjänster är molnbaserade. De är byggda så att tjänsteleverantören har teknisk åtkomst till användarnas promptar och till svaren som skickas tillbaka. Huruvida tjänsteleverantörerna får använda sin åtkomst för att exempelvis förbättra sina AI-modeller regleras av juridik, inte av teknik. I Google Geminis integritetspolicy står det rent av: ”ange inte konfidentiell information som du inte vill att en granskare ska se”. I fjol hamnade Open AI i en rättstvist med New York Times. Open AI meddelade att, även om de inte ville, kunde de tvingas lämna ut Chat GPT-användares data. Därutöver har det inträffat flera dataläckor där andra AI-tjänster har läckt användarnas promptar. Sammantaget visar det tydligt att molnbaserade AI-tjänster ökar risken för att data hamnar i fel händer. Åtminstone fram till nu! Tack vare ny teknik har det dykt upp tjänster som skyddar datan så att inte ens tjänsteleverantören har åtkomst till den. Om tjänsteleverantören saknar teknisk åtkomst kan tjänsteleverantören varken läsa promptarna, läcka historiken eller tvingas lämna ut kopior av användarnas konfidentiella samtal. I veckans poddavsnitt pratar Peter och Nikka om säkerhetsframstegen på AI-molntjänstsfronten. De jämför hur datan skyddas i tre olika kategorier av AI-molntjänster som de exemplifierar med: ChatGPT, Proton Lumo respektive Confer. Den sistnämnda tjänsten är utvecklad av Moxie Marlinspike, grundaren av Signal. Han vill nu revolutionera AI-säkerheten på samma sätt som Signal revolutionerade säker kommunikation. Peter och Nikka pratar också om ett brev från akademin där doktorer och professorer kräver en paus i utrullningen av åldersverifieringskrav. För svensk del är brevet undertecknat av sju doktorer och professorer från Chalmers, Karlstads universitet, Rise och Uppsala universitet. De varnar för farorna som ogenomtänkta åldersverifieringslösningar kan föra med sig. De poängterar att det inte ens finns några vetenskapliga belägg för att blockering av minderårigas åtkomst skulle ha en positiv effekt på deras mentala hälsa. Se fullständiga shownotes på https://go.nikkasystems.com/podd342.

    39 min

  7. 27 FEB

    #341 Best Western läckte Nikkas uppgifter

    Stora mängder data har läckt ur hotellbokningssystem. Hotellkedjan Best Western har bland annat läckt gästers namn, telefonnummer, mejladresser, bokningsdatum och bokningspriser. Nu utnyttjar bedragare den stulna informationen för att skicka ovanligt detaljerade nätfiskemeddelanden, i hopp om att lura av gästerna deras betalkortsuppgifter. En av gästerna som berörs är Karl Emil Nikka själv. I veckans podd pratar han och Peter Esse om hur Best Western har hanterat situationen, något Nikka beskriver som ett skolboksexempel på hur företag inte bör göra efter en personuppgiftsincident. Podduon pratar också om ett internt mejl som har läckt från det Amazon-ägda företaget Ring som tillverkar ringklockor med inbyggda övervakningskameror. Ring hamnade i blåsväder efter en misslyckad annonskampanj. Ring trodde att deras kunder skulle välkomna en ny funktion som gjorde att Ring-kameranätverket kunde hitta bortsprungna hundar. Kunderna tolkade i stället annonskampanjen som en inblick i en dystopisk framtid där varenda dörrklocka utnyttjas för att spåra människor. Det läckta interna mejlet besannade oron för framtida ändamålsglidning. Spårandet av hundar var bara ett steg på vägen mot att spåra människor. Se fullständiga shownotes på https://go.nikkasystems.com/podd341.

    36 min

  8. 20 FEB

    #340 Nu vill de begränsa VPN-tjänsterna

    La Liga har fått spanska operatörer att blockera CDN-nätverk som distribuerar illegala IPTV-sändningar. Detta trots att sådana blockeringar gör även helt legitima webbplatser oåtkomliga. Storbritanniens premiärminister Keir Starmer vill strama åt ålderskontrollerna på nätet ännu hårdare. Detta trots att Storbritannien saknar säkra metoder för åldersverifiering. La Liga och Starmer ställs inför samma problem: det är långt ifrån alla som delar deras önskemål. Britterna som inte vill åldersverifiera sig skaffar i stället VPN-tjänster, så att de kan tunnla ut sin trafik från landet. Spanjorerna som vill kringgå de spanska operatörernas blockeringar gör samma sak. Som ett väntat nästa steg sätter både La Liga och Storbritannien fokus på VPN-tjänsterna. I veckan hävdade La Liga att två stora VPN-tjänster (Proton VPN och Nord VPN) måste införa samma CDN-blockeringar som de spanska operatörerna. Starmer skickade ut ett pressmeddelande om behovet av att begränsa barns åtkomst till VPN-tjänster. I veckans poddavsnitt pratar Peter och Nikka om de nya önskemålen om VPN-begränsningar. Nikka förklarar att han inte ens förstår hur åldersbegränsning av VPN-tjänster skulle kunna genomföras i praktiken. Efter att veckans poddavsnitt spelades in publicerade nyhetsbyrån Reuters ett relaterat avslöjande. Enligt Reuters utvecklar amerikanska utrikesdepartementet en frihetsportal som ska hjälpa européer att kringgå europeiska internetbegränsningar. Frihetsportalen skulle bland annat kunna tillhandahålla en VPN-tjänst som tunnlar ut trafiken i USA. Varför någon skulle välja att lita på just den VPN-tjänsten framgår inte. Se fullständiga shownotes på https://go.nikkasystems.com/podd340.

    36 min
See All (347)

About

”Bli säker” är podden som gör dig lite säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor. Podden produceras av Nikka Systems. Avsnitten publiceras under CC BY 4.0-licens.

Information

  • Creator
    Nikka Systems
  • Years Active
    2019 - 2026
  • Episodes
    347
  • Rating
    Clean
  • Copyright
    © CC BY 4.0 Nikka Systems
  • Show Website
    Bli säker-podden

You Might Also Like