Bli säker-podden

Nikka Systems

”Bli säker” är podden som gör dig lite säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor. Podden produceras av Nikka Systems. Avsnitten publiceras under CC BY 4.0-licens.

  1. HACE 3 DÍAS

    #343 Kan Content Credentials verifiera äkta bilder?

    Tiden då AI-genererade bilder innehöll flagranta misstag är förbi. Dagens bildgeneratorer kan skapa bilder som ser helt autentiska ut. Videogeneratorerna blir också allt bättre. Till och med SVT har råkat publicera ett AI-genererat videoklipp i tron om att det visade en dokumenterad händelse. Förra veckan twittrade Carl Bildt en bild på resterna av ett attackerat radarsystem. I gruppanmärkningarna och kommentarerna hävdade hans följare att bilden var AI-genererad. När SVT Verifiera granskade bilden visade det sig att anklagelserna var felaktiga. Bilden var faktiskt äkta. De två exemplen visar tydligt på problemet som har uppstått. Publicister har svårt att veta om videoklipp är äkta. Mediakonsumenter börjar samtidigt bli så skeptiska att de avfärdar äkta bilder som AI-genererade. Koalitionen som kallar sig C2PA har utvecklat en teknik för att minska problemet. ”Content Credentials” ska göra så att mediakonsumenter kan se vilken publicist som har publicerat en bild eller ett videoklipp. Informationen signeras kryptografiskt och bäddas in i bilderna och videoklippen. Det gör att informationen följer med även om en användare återpublicerar innehållet på andra plattformar. Tekniken gör också att publicister kan verifiera äktheten på bild- och videomaterial. Kompatibla kameror signerar fotografierna och videoklippen direkt när de spelas in, så att redaktionerna kan säkerställa att materialet är äkta. Fotografier kan till och med redigeras i kompatibla appar, till exempel Photoshop eller Lightroom. Då sparas ändringshistoriken i bildfilen, så att redaktionen kan se vilka ändringar som har gjorts, till exempel vilka delar av bilden som har beskurits. I veckans poddavsnitt pratar Peter och Nikka om hur C2PA-initiativet ska öka trovärdigheten för äkta bilder och videoklipp. Podduon lyfter samtidigt flera nackdelar som tekniken dras med. Nikka avslutar med att berätta om en bugg i en Nikon-kamera. Buggen gjorde att en fotograf kunde lura kameran att signera en manipulerad bild som om den vore äkta. Se fullständiga shownotes på https://go.nikkasystems.com/podd343.

    38 min

  2. 6 MAR

    #342 Säker AI och åldersverifieringshysteri

    I mitten av februari blockerade Europaparlamentet AI-funktionerna på lagstiftarnas enheter. Enligt ett internt mejl som har delats med Politico infördes blockeringen på grund av risken för obehörig åtkomst till datan. Merparten av dagens AI-tjänster är molnbaserade. De är byggda så att tjänsteleverantören har teknisk åtkomst till användarnas promptar och till svaren som skickas tillbaka. Huruvida tjänsteleverantörerna får använda sin åtkomst för att exempelvis förbättra sina AI-modeller regleras av juridik, inte av teknik. I Google Geminis integritetspolicy står det rent av: ”ange inte konfidentiell information som du inte vill att en granskare ska se”. I fjol hamnade Open AI i en rättstvist med New York Times. Open AI meddelade att, även om de inte ville, kunde de tvingas lämna ut Chat GPT-användares data. Därutöver har det inträffat flera dataläckor där andra AI-tjänster har läckt användarnas promptar. Sammantaget visar det tydligt att molnbaserade AI-tjänster ökar risken för att data hamnar i fel händer. Åtminstone fram till nu! Tack vare ny teknik har det dykt upp tjänster som skyddar datan så att inte ens tjänsteleverantören har åtkomst till den. Om tjänsteleverantören saknar teknisk åtkomst kan tjänsteleverantören varken läsa promptarna, läcka historiken eller tvingas lämna ut kopior av användarnas konfidentiella samtal. I veckans poddavsnitt pratar Peter och Nikka om säkerhetsframstegen på AI-molntjänstsfronten. De jämför hur datan skyddas i tre olika kategorier av AI-molntjänster som de exemplifierar med: ChatGPT, Proton Lumo respektive Confer. Den sistnämnda tjänsten är utvecklad av Moxie Marlinspike, grundaren av Signal. Han vill nu revolutionera AI-säkerheten på samma sätt som Signal revolutionerade säker kommunikation. Peter och Nikka pratar också om ett brev från akademin där doktorer och professorer kräver en paus i utrullningen av åldersverifieringskrav. För svensk del är brevet undertecknat av sju doktorer och professorer från Chalmers, Karlstads universitet, Rise och Uppsala universitet. De varnar för farorna som ogenomtänkta åldersverifieringslösningar kan föra med sig. De poängterar att det inte ens finns några vetenskapliga belägg för att blockering av minderårigas åtkomst skulle ha en positiv effekt på deras mentala hälsa. Se fullständiga shownotes på https://go.nikkasystems.com/podd342.

    39 min

  3. 27 FEB

    #341 Best Western läckte Nikkas uppgifter

    Stora mängder data har läckt ur hotellbokningssystem. Hotellkedjan Best Western har bland annat läckt gästers namn, telefonnummer, mejladresser, bokningsdatum och bokningspriser. Nu utnyttjar bedragare den stulna informationen för att skicka ovanligt detaljerade nätfiskemeddelanden, i hopp om att lura av gästerna deras betalkortsuppgifter. En av gästerna som berörs är Karl Emil Nikka själv. I veckans podd pratar han och Peter Esse om hur Best Western har hanterat situationen, något Nikka beskriver som ett skolboksexempel på hur företag inte bör göra efter en personuppgiftsincident. Podduon pratar också om ett internt mejl som har läckt från det Amazon-ägda företaget Ring som tillverkar ringklockor med inbyggda övervakningskameror. Ring hamnade i blåsväder efter en misslyckad annonskampanj. Ring trodde att deras kunder skulle välkomna en ny funktion som gjorde att Ring-kameranätverket kunde hitta bortsprungna hundar. Kunderna tolkade i stället annonskampanjen som en inblick i en dystopisk framtid där varenda dörrklocka utnyttjas för att spåra människor. Det läckta interna mejlet besannade oron för framtida ändamålsglidning. Spårandet av hundar var bara ett steg på vägen mot att spåra människor. Se fullständiga shownotes på https://go.nikkasystems.com/podd341.

    36 min

  4. 20 FEB

    #340 Nu vill de begränsa VPN-tjänsterna

    La Liga har fått spanska operatörer att blockera CDN-nätverk som distribuerar illegala IPTV-sändningar. Detta trots att sådana blockeringar gör även helt legitima webbplatser oåtkomliga. Storbritanniens premiärminister Keir Starmer vill strama åt ålderskontrollerna på nätet ännu hårdare. Detta trots att Storbritannien saknar säkra metoder för åldersverifiering. La Liga och Starmer ställs inför samma problem: det är långt ifrån alla som delar deras önskemål. Britterna som inte vill åldersverifiera sig skaffar i stället VPN-tjänster, så att de kan tunnla ut sin trafik från landet. Spanjorerna som vill kringgå de spanska operatörernas blockeringar gör samma sak. Som ett väntat nästa steg sätter både La Liga och Storbritannien fokus på VPN-tjänsterna. I veckan hävdade La Liga att två stora VPN-tjänster (Proton VPN och Nord VPN) måste införa samma CDN-blockeringar som de spanska operatörerna. Starmer skickade ut ett pressmeddelande om behovet av att begränsa barns åtkomst till VPN-tjänster. I veckans poddavsnitt pratar Peter och Nikka om de nya önskemålen om VPN-begränsningar. Nikka förklarar att han inte ens förstår hur åldersbegränsning av VPN-tjänster skulle kunna genomföras i praktiken. Efter att veckans poddavsnitt spelades in publicerade nyhetsbyrån Reuters ett relaterat avslöjande. Enligt Reuters utvecklar amerikanska utrikesdepartementet en frihetsportal som ska hjälpa européer att kringgå europeiska internetbegränsningar. Frihetsportalen skulle bland annat kunna tillhandahålla en VPN-tjänst som tunnlar ut trafiken i USA. Varför någon skulle välja att lita på just den VPN-tjänsten framgår inte. Se fullständiga shownotes på https://go.nikkasystems.com/podd340.

    36 min

  5. 13 FEB

    #339 En vansinnig AI-agent på din dator

    De senaste veckorna har AI-botten Openclaw skapat många rubriker. Openclaw fungerar som en AI-agent på datorn. Den chattar med sin ägare via valfri chattapp och utför uppgifterna som den blir instruerad att göra. Den gör dem dessutom förvånansvärt bra. Openclaw gör det som Siri och Google Assistant alltid har strävat efter att kunna erbjuda, men aldrig lyckats leverera. Den extremt kompetenta AI-botten är samtidigt vansinnigt riskfylld. Openclaws utvecklare är helt öppna med detta faktum. De varnar användare som installerar botten för att den kan bli lurad att göra osäkra saker. Utvecklarna klassar dessutom Openclaw som ett hobbyprojekt och koden har ännu inte lämnat beta-stadiet. I veckans poddavsnitt pratar Peter och Nikka om Openclaws förträffliga funktionalitet och undermåliga cybersäkerhet. Nikka lyfter fem problem som gör att han avråder alla från att använda botten i annat än test- och leksammanhang. Openclaw dras bland annat med samma problem som ChatGPT:s AI-agentwebbläsare: risken för promptinjektionsattacker. Angripare skulle kunna lura Openclaw att tolka information på webben eller i meddelanden som instruktioner att följa. Då är det plötsligt angriparen som styr vad AI-agenten ska göra på datorn där Openclaw har släppts loss. Hur pass väl skyddad Openclaw är mot promptinjektionsattacker beror på vilken underliggande AI-modell som ägaren väljer. Utvecklarna har gjort sitt bästa för att skydda botten, men de är samtidigt öppna med att risken kvarstår. Än så länge vet faktiskt ingen om problemet ens går att lösa. Se fullständiga shownotes på https://go.nikkasystems.com/podd339.

    36 min

  6. 6 FEB

    #338 Hotet från kvantdatorerna (specialavsnitt)

    Utvecklingen av så kallade kvantdatorer väcker oro. Om någon lyckas uppfinna en tillräckligt kraftfull kvantdator kommer den att kunna knäcka många av krypteringslösningarna som används idag. Runt om i världen har underrättelsetjänster redan börjat spela in krypterad trafik i hopp om att en framtida kvantdator ska kunna dekryptera den. Vi måste därför påskynda övergången till kvantdatorsäkra krypteringsalgoritmer. Veckans specialavsnitt av Bli säker-podden gästas av IT-säkerhetsexperten Joachim Strömbergson från Assured. Han förklarar hur vår värld påverkas av hotet från kvantdatorerna. Joachim redogör för vilka situationer som berörs, var problemet är som störst och hur lösningarna ser ut. Det har redan uppfunnits flera kvantdatorsäkra krypteringsalgoritmer, men de har av förklarliga skäl inte hunnits testas i samma utsträckning som de klassiska motsvarigheterna. Frågan är: kan vi lita på dem? Se fullständiga shownotes på https://go.nikkasystems.com/podd338.

    37 min

  7. 30 ENE

    #337 Bråket mellan Whatsapp, X och Telegram

    I veckan lämnade en internationell grupp in en stämningsansökan mot Meta. Gruppen hävdar att Meta ljuger om totalsträckskrypteringen i meddelandeappen Whatsapp. Enligt påstådda visselblåsare kan medarbetare hos Meta läsa alla meddelanden som skickas. De påstådda visselblåsarna hävdar till och med att Meta-medarbetare kan återställa raderade meddelanden. Meta avfärdar alla dessa påståenden som helt grundlösa. I en kommentar till New York Post förklarar Whatsapps chef att stämningen drivs av samma advokatbyrå som försvarar NSO Group. NSO Group är företaget bakom den ökända spiontrojanen Pegasus som har använts för att spionera på politiker, journalister och människorättsaktivister. Pegasus har bland annat utnyttjat Whatsapp för att få fotfäste på offrens mobiler, vilket har lett till en mångårig tvist mellan Meta och NSO Group. Whatsapps chef hävdar att den påstådda visselblåsarläckan är en ren distraktion från NSO Groups advokaters sida. Elon Musk (X:s ägare) och Pavel Durov (Telegrams grundare) har snabbt dragit nytta av situationen. Musk hävdar att Whatsapp är osäkert och att även Signal är tveksamt. Han uppmanar sina följare att byta till X Chat. Pavel Durov går ett steg längre och säger att alla som tror att Whatsapp är säkert måste vara hjärndöda. I veckans poddavsnitt pratar Peter och Nikka om pajkastningen mellan företagen bakom meddelandeapparna. Nikka poängterar att Metas historiska kontroverser ligger företaget till last. Eftersom Whatsapp saknar öppen källkod kan Meta inte bevisa att Whatsapp är fri från bakdörrar. Det blir upp till Whatsapp-användarna att välja om de litar på Metas ord. Faktumet att Whatsapp baseras på det öppna Signal-protokollet gör varken till eller från i det här fallet. Nikka poängterar samtidigt att de som anklagar Meta saknar bevis och dras med egna trovärdighetsproblem. Musks X Chat har dessutom så allvarliga sårbarheter att X:s anlitade tredjepartsgranskare rekommenderar X att pausa funktionen. Durovs Telegram använder inte totalsträckskryptering som standard och kan därför inte ens jämföras med säkra meddelandeappar. Podduons rekommendation blir den vanliga: välj Signal-appen. Signal använder inte bara det öppna Signal-protokollet. Hela appen har öppen källkod. Signal-användarna behöver inte lita på utfästelser om att appen är bakdörrsfri. Världens säkerhetsforskare kan kontrollera att den faktiskt är det. Se fullständiga shownotes på https://go.nikkasystems.com/podd337.

    35 min

  8. 23 ENE

    #336 Spårad och avlyssnad via Bluetooth-hörlurar

    Förra veckan tillkännagavs en ny sårbarhet i Bluetooth-hörlurar från flera stora tillverkare, däribland Sony, JBL, Jabra och Marshall. De berörda hörlursmodellerna har alla stöd för Googles Fast Pair-teknik, och tillverkarna har implementerat tekniken på ett felaktigt vis. Det rör sig alltså inte om någon sårbarhet i själva Bluetooth-protokollet. Sårbarheten har fått namnet Whisperpair. Namnet anspelar på konsekvenserna. En angripare som befinner sig inom Bluetooth-räckvidd kan i tysthet koppla ihop ovetande användares hörlurar med sin egen dator. Därigenom kan angriparen avlyssna vad som sägs. Whisperpair-sårbarheten förvärras av att flera berörda hörlursmodeller har stöd för Googles Find Hub-nätverk (används för att hitta borttappade produkter). Sådana hörlurar måste kopplas till en Android-mobil för att registreras på mobilägarens Google-konto. Det är ett problem för Iphone-ägare som har köpt sårbara och Find Hub-kompatibla hörlurar. Deras hörlurar lämnas kvar i registrerbart läge. Whisperpair-sårbarheten gör att en angripare (inom Bluetooth-avstånd) kan koppla oregistrerade hörlurar till sitt eget Google-konto och framgent spåra var ägarna befinner sig. För att lösa problemet måste hörlurstillverkarna släppa firmware-uppgraderingar till de berörda modellerna. Hörlursägarna måste därefter också installera firmware-uppgraderingarna, vilket i sin tur förutsätter att ägarna har laddat ned de tillhörande apparna. Detta innebär att många hörlurar kommer att förbli sårbara. I veckans poddavsnitt pratar Peter och Nikka om problemet med Whisperpair-sårbarheten. Den danska polisen ansåg att sårbarheten var så allvarlig att de rekommenderade alla anställda att stänga av Bluetooth på sina mobiler. Nikka förklarar varför det, i hans mening, är helt fel rekommendation och varför det ändå inte löser problemet. Bli säker-podden instiftar däremot en annan rekommendation: välj Bluetooth-hörlurar som har en app för din mobils operativsystem. Se fullständiga shownotes på https://go.nikkasystems.com/podd336.

    36 min
Ver todo (343)

Acerca de

”Bli säker” är podden som gör dig lite säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor. Podden produceras av Nikka Systems. Avsnitten publiceras under CC BY 4.0-licens.

Información

  • Creador
    Nikka Systems
  • Años de actividad
    2019 - 2026
  • Episodios
    343
  • Clasificación
    Explícito
  • Copyright
    © CC BY 4.0 Nikka Systems
  • Mostrar sitio web
    Bli säker-podden

También te podría interesar