Författare: Erik Zalitis

19 februari, 2020

Härda brandväggen i skallen

Keep an open mind.. ”but not so open that your brains fall out.” – Prof. Walter Kotschnig

Masshysterier är nog lika gamla som mänskligheten själv. Kan tänka mig att de var mindre och mer lokala på jägar-samlartiden och blev till stora spektakel när folk flyttade ihop i byar och senare städer. När någon form av rykte som leder till masshysteri dyker upp, kommer den som från början startade ryktet snabbt att gå ur vägen. Då vet ingen egentligen hur det började eller varför. Därefter sprider det sig som en löpeld och får folk att göra brott, mörda varandra eller helt enkelt göra vansinniga saker.

Masshysterier inom IT-säkerhetsvärlden är ingenting särskilt nytt heller. Jag minns alla dessa kedjebrev som förklarade vad som skulle hända om man inte skickade meddelandet vidare. ”Good times-viruset” blev till en långkörare som tog över Internet under ett tag. Det gick ut på att man inte skulle öppna brev med ärenderaden ”Good times”. Gjorde man det, blev effekten enligt varningen katastrofal med raderat data som följd. Något Good time-virus fanns inte, men varningsmeddelandet kan i sig anses vara någon form av skadlig kod, då den spred sig precis som ett riktigt virus. Men det fanns ingen teknik inblandad alls, utan det var oroliga användare som spred det utan att förstå att det troligen var skaparens mening med det.

Sen har vi alla gånger vi hört att Internet kommer gå under. Det dyker upp förståsigpåare som förutspår att nätet inte kommer kunna stå emot den enorma ökningen av attacker som sker.

Listan kan göras kilometerlång med påhittade hatsidor på FaceBook, fake news, ryktesspridning som alltid uppdateras och mängder av skitprat. De är till för att få dig att köpa ormolja, göra saker du inte borde, blir rädd och arg och till sist lura av dig pengarna.

Så det är dags att härda brandväggen i skallen. Alltså att installera det sunda förnuft som gör att man blir kritiskt granskande och börjar ifrågasätta istället för att acceptera. Här är en mycket inkomplett lista över saker som man måste göra för att få härdningen att fungera:

  • Finns det en källa till påståendet? Är den trovärdig? Ett gäng oroliga och arga personer i en Facebook-grupp är ALDRIG en trovärdig källa. Särskilt om de kommer med bevis på någonting hemskt, men dessa ”bevis” på något magiskt sätt aldrig är tillräckliga för att gå till polisen med. De som säljer problem, lösning och bevis på samma ställe är troligen bedragare.
  • Är deras lösning (som de enligt ovan säljer till dig) något som du vill ha? Siter som påstår att du har virus på din dator och säljer antiviruset är inte seriösa. Gå därifrån.
  • Hotar de dig med total katastrof om du inte gör som de säger? De där blinkande ”din dator sänder ut en ip-adress” som man kunde se för ett antal år sedan, kom med mycket skrämmande saker som skulle hända om du inte gjorde som de sa.
  • Låter det för bra/katastrofalt för att vara sant? Då är det troligen det.
  • Är det gratis utan att du riktigt vet hur de finansierar lösningen/produkten? I så fall, låt bli! Kom ihåg vårt inlägg om Avast!
  • Verkar budskapet gjort för att få dig att bli arg eller rädd? En del meddelanden kan tvärtom vara gjorda för att göra dig glad och medgörlig. Om de riktas till dig baserat på vad för grupp du tillhör på sociala media kan de vara utformade för att raljera över sådant som du inte gillar. På så sätt nästlar man sig in i ditt community och underblåser konflikter eller försöker påverka dig och gruppen.
  • Paranoia är inte paranoia om den är baserad på vettiga observationer och kritiskt tänkande. Är det rimligt att något är tveksamt, kan det vara värt att vara försiktig.
12 februari, 2020

Du kan fly, men du kan inte gömma dig

Peekaboo! Linux i Windows??? Det finns faktiskt en produkt (sök på Windows subsystem for Linux) som gör detta möjligt. Dubblerar det sårbarheterna då eller?

”Jag behöver inget virusskydd, jag har ju MAC” har jag hört ett antal gånger. Eller att ”Om du vill vara säker, kör Linux”. Ett vanligt argument för dessa påståenden är att dessa två operativsystem i sig själva är överlägsna Windows vad det beträffar just säkerhet. Historiskt har det funnits en god poäng i detta även om gapet i mångt och mycket har slutits. Nej, denna diskussion handlar om det ANDRA argumentet. Detta argument är mindre vanligt, men lyder ”En miljö attackeras i proportion till hur många som använder den”. ”Windows har många användare, därför är det osäkert.”

Så om detta argument håller är du då alltså säkrare om du viljer produkter som färre använder? Då borde ju min Windows 95 var helt idiotsäker att koppla in på nätet utan brandvägg, eller hur? Sanningen, som jag ser det, är att det är lite mer komplicerat än så. Många attacker flyger på saker som är hyggligt gemensamma mellan miljöerna som ramverk, webbläsare och mediaspelare. Det behöver inte betyda att attackerna fungerar oavsett vilket operativsystem du kör, utan snarare att det är lätt att anpassa dem för att fungera sålänge det är samma sårbarhet. En sårbarhet i tillexempel Firefox kan i vissa lägen fungera oavsett om den körs i Linux eller Windows.

Så att gömma sig i den mindre hagen är troligen en rätt bristfällig försvarsstrategi i dessa dagar. Detta är inte ett försvarstal för Windows utan ett nyktert konstaterande att ditt val av t.ex. operativsystem måste baseras på andra faktorer än hur många som faktiskt använder det.

Diskussionen om vilken modell, proprietär vs open source, som är bäst kommer pågå länge än. Min personliga reflektion är att den säkraste produkten är den som aktivt sköts om, patchas och där sårbarhetsrapporter tas på allvar och snarast lagas. Att kräva detta av sin produkt är troligen en av de viktigaste sakerna att tänka på när du letar efter ett nytt operativsystem, appliance, iot-enhet eller säkerhetslösning.

5 februari, 2020

Lösa trådar – eller vad händer just nu?

”Lösa trådar” rent diskussionmässigt är rätt ofarliga, men är trådarna elektriska, är deras löshet direkt kopplat till hur brandbenägna de är… Vet inte riktigt vart jag är påväg med den här diskussionen, det blir liksom bara lösa trådar…

Ibland känner jag för att bara skriva några tankar i största allmänhet om vad vi gör på denna podd, så det tänkte jag göra här.

Januari är över och februari känns som april rent vädermässigt. Podden går framåt med stora steg. Vi kom igång riktigt bra efter sommaren med många intressanta intervjuer. Och hela tiden har lyssnarantalet långsamt men säkert ökat. Intervjuerna drar mycket nytt folk som kanske är intresserade av personen vi pratar med eller fått veta om oss via personens sociala medier. De vanliga snacken är också populära. Att försöka gissa vad som lockar mest kan vara en utmaning, men vissa mönster kan skönjas. Enligt min högst personliga åsikt verkar det, som jag sagt tidigare, ha varit en bra idé att börja väva in fler historier i snacket,. Att blanda mer tekniska avsnitt med avsnitt som tar oss in i närliggande områden fungerar också vad det verkar. När vi pratade om Nordkorea, kunde vi bjuda på en genomgång av hackergrupperna som är kopplade till landet och samtidigt ha en diskussion om varför man hackar och vilken relation man har till resten av världen. Vi kom till och med in på ämnet ”Käre ledare”, en känd bok skriven av en politisk flykting med inside-information från Nordkoreas ledning.

Vi har också samarbetat med SIG Security, vilket gjort att ni kunnat följa deras föredraghållare som berättat om sina favoritämnen. Det blev till och med en radioteater där ostoppbar entusiasm för molnet mötte skeptisk motkraft som manade till försiktighet. Och i ett annat avsnitt fick vi veta om vad som snart kanske blir en molncertifiering som backas av EU.

Commodore 64, en dator från den tiden då datorerna verkligen såg ut som… ehh… brödboxar?

Vi stötte flera gånger på ämnet retrodatorer och hackarna som älskade dem. Jörgen Nissen berättade om de ungdomar som växte upp med hemdatorn. Pontus Berg, också känd som Bacchus från Fairlight, tyckte det handlade lite för mycket om att bryta sig in i system när vi pratade om dåtidens hackare och kom själv istället med en mycket intressant berättelse om dåtidens demoscen och spelpirater. Det blev tillsist nästan en serie om en svunnen tid som ändå var alldeles nyss.

När julen stod för dörren samlade vi ihop årets olika diskussioner som att lita på varandra till ett avsnitt om digital trust. Nyårsavsnittet sammanfattade allting och introducerade termen ”bläord”. Alltså sådant där som man har hört någon gång för mycket. 2018 års nyårsavsnitt förutspådde ju a AI skulle vara hett och nu landade termen istället som just ett ”bläord”.

Och vad händer i vår?

Vi har kört igång en miniserie på tre avsnitt i samarbete med Debricked som handlar om open source och vad en utvecklare behöver tänka på för att hålla allting så säkert som möjligt.

Intervjuerna fortsätter och vi jagar ständigt intressanta personer som kan ge sina högst personliga insikter inom säkerhetsområdet.

Och vi har inte glömt att nörden måste få vara med. Det kommer bli avsnitt där vi går ner på djupet i ämnen. Senast var det ju brandväggen, där vi ställde upp den klassiska brandväggen mot proxyn och lät dem gå en ”boxningsmatch” i tre ronder.

Vi håller redan på att dra i trådarna för att få tag på vårens talare på SIG Security och kommer fortsätta samarbeta med dem under hela 2020.

Det blir en intressant och lärorik vår här på IT-säkerhetspodden.

29 januari, 2020

Det finns ju ingen gratis lunch

Det var något om stekt fläsk och gratis Facebook, men jag tappade koncentrationen. Såg just en söt kattbild i mitt flöde.

Heinleins sci-fi roman ”Revolt mot jorden” myntade uttrycket i fråga och det har använts många gånger sedan dess. ”The is no such thing as a free lunch” heter det på Engelska och det syftar på att allting har ett pris.

Alldeles nyss nåddes jag av nyheten att det framkommit att gratisprogrammet Avast säljer dina surfvanor på nätet. Avast, om du missat det, är ett gratis antivirusprogram som är … just det… gratis. Det propsar på att sälja dig betalvarianten genom att påstå att du har risker med din dator som kräver att du köper den för att fixa dem. Men det bleknar ju i jämförelse med att dina surfmönster säljs. Anonymt lovas det, men det kräver inte mycket fantasi för att förstå att man rätt snabbt avslöjar vem man är med hur man surfar. Så sluta använd programmet säger alla … och alla har rätt.

Det som förvånar mig är att ingen riktigt försöker förstå hur gratisprogram betalar sin skapares lön. Kan man överhuvudtaget lita på något som är gratis? Ja, jag skulle säga att det är möjligt. De flesta Linuxdistributioner kostar ingenting och de brukar inte vara några problem. Ubuntu är gratis men Canonical, deras tillverkare, tjänar pengar på support och kringprodukter. MEN! Det finns även där anledning att dra åt sig öronen ibland. Ubuntu lade för några år sedan med en programvara som kopplade ihop sökfunktionen med Amazon, vilket ledde till mycket diskussioner om integriteten. Dock är, som sagt, Linux något som är både gratis och man kan lita på rent generellt.

Sanningen är att den som vill ha programvara utan att betala MÅSTE ha kunskap om hur programmet är gratis och varför det kan vara det, annars kan det bli dyrt på något sätt.

Men även om man betalar är det värt att läsa det avtal man skriver på innan man accepterar det. Det finns betalprogram som skickar hem data om vad du gör. I och med Windows 10 har Microsoft nu en lång historia att bygga operativsystem som ”ringer hem” med all möjlig information. Detta är något som idag accepteras av de flesta, men så var det inte från början. Siten ”Bad Vista” fanns förut och protesterade mot Windows Vistas mekanismer för att skicka hem data. Google, Apple och de flesta stora leverantörerna vet mer om dina vanor än vad jag tror du är bekväm med. För att inte tala om underrättelsetjänster runt om i världen.

Nu får du gå ut och leka. Kom ihåg att varje kväll förväntar jag mig att du läser ramsan jag lärt dig tio gånger innan läggdags: TANSTAAFL. (There Ain’t No Such Thing As A Free Lunch)

23 januari, 2020

Vad intresserar oss?

Allt är ju inte hacking, inte ens för en hackare.

För snart ett år sedan, läste Mattias en bok om prepping och kom med förslaget att vi skulle intervjua författaren i vår podd. Det gjorde vi också och resultatet blev utmärkt. En fråga bara, vad har prepping med IT-säkerhet att göra. Det enkla svaret är: ingenting. Borde vi ens ha gjort intervjun? Jag anser att det var helt perfekt. Är själv intresserad av ämnet och jag tror många som håller på med IT-säkerhet också är det.

Om man är aktiv inom säkerhetsområdet, kan man ju anta att frågor om stabilitet och säkerhet inom IT-området gärna kan sprida sig till att man börjar titta på säkerhet och stabilitet inom andra områden. Samhället kan också drabbas och vad gör man om elen försvinner för några veckor? Så har en väg mellan dessa två, till synes orelaterade ämnena, bildats.

Personligen tror jag inte någon specialist mår bra av att inte bredda sitt område. IT-säkerhet går in i precis allting inom IT-området och är en viktig del i allt från lagringsteknologier till mer självklara områden som webbapplikationsutveckling.

Så en person som är intresserad av att jobba med IT-säkerhet bör bygga detta på ett fundament av andra kunskapsområden. En del IT-personer börjar som generalister i en help desk medan andra startar inom utvecklingsområdet. En del kanske bara jobbar med verksamhetsutveckling och diskuterar riktlinjer och policies skrivna på papper. Var du än kommer ifrån, glöm inte vad du lärt dig på vägen. Det kan komma väl till pass. Och glöm inte att titta runt på andra områden som kan berika dig i din gärning inom branschen. Det kan vara områden som du inte tänker på. Har du hobbies och intressen utöver IT? Fundera på om de kan ge något till ditt yrke. Tror en nyfiken hjärna som vill lära sig nya saker hela tiden vinner i längden.

Kopplingen mellan knyppling och IT-säkerhet är lite för långsökt för mig, men ni kanske kommer på någon? //Erik

16 januari, 2020

Vad tänker man vid ett angrepp?

Hacked by … Men, vänta nu, vilket språk är det där? Definitivt inte kinesiska tecken.. Jaha, ok, vi var visst inte hackade ändå..

Igår satt jag på en skakig uppkoppling mitt ute i ingenstans i en stad nära men ändå långt borta. Jag laddade IT-säkerhetspoddens hemsida och medan den laddade gick jag och gjorde annat. Väl tillbaka möts jag av att hemsidan såg ut som bilden ovan. Vad sjutton händer? En obehaglig tanke slog mig: har vi blivit hackade?

Under minuterna som gick när jag försökte avgöra vad som hänt, gick tankarna på högvarv… Men hur? Varför? Det är inte möjligt att… Allt är ju uppsatt och säkrat och patchat och … Förstår inte…

Rätt snabbt insåg jag att det var den skakiga uppkopplingen som fått nedladdningen av sidan att paja, vilket gav upphov till skräptecknen. Efter några minuter av att sidan inte laddats, fick jag kontakt med mobilmasten igen och då fungerade ju det hela utan problem.

Men medan jag jobbade tänkte jag på det ironiska i att en podd om IT-säkerhet blivit hackad. Det skulle inte vara någon hejd på skadeglädjen och kommentarerna. Det skulle ifrågasättas hur vi, som ju ska kunna sådant här, missat att sköta våra egna grejer. Detta är vad vi i dagligt tal kallar en kvalitativ förlust. Alltså en realiserad risk som leder till att vi tappar i rykte och ansedd pålitlighet. Sen finns den en kvantitativ förlust. Alltså att vi förlorar pengar. I vårt fall är det inte mycket att tala om, men hade vi sålt något via siten, hade det kunna göra ont att vara borta ett antal dagar. Även en liten webshop kan påverkas mycket negativt av nedtid.

Den tråkiga nyheten är att de flesta, om inte alla, siter är i stor risk att hackas någon gång. Ett litet misstag, en oväntad zero day, missat att lägga på senaste patchen på ett par dagar eller bara ett bortglömt konto med privilegier och ett dåligt lösenord. Det krävs inte mycket för att åka dit och få skämmas. Dataläckor idag är så vanliga att man nästan inte reagerar förrän det talas om miljontals konton vars uppgifter röjts.

Det finns ju en anledning till skammen. Om du fått inbrott hemma är det ingen som klandrar dig för valet av lås, så länge du har ett godkänt sådant. Men om någon blir hackad blir det ”Avgå! Alla! Nu!”. Skillnaden är att den som har en tjänst har både en skyldighet och en möjlighet att skydda allting själv eller anlita någon som gör det. Att inte patcha sina system är ju ingen ursäkt. Och det ställer organisationen som utsätts i mycket dålig dager.

Så vad kan jag säga: ingen ro för de trötta…

8 januari, 2020

Baksidan av multifaktor-autentisering

”Submitted for your approval, picture a man… A man who stores all his data in the cloud. Locked by a door with his phone as the only key. Convenient for him, but as all things go, one day it might be lost and his data will end up… in the Twilight zone”.

Vi och i princip alla andra sjunger multifaktorautentiseringens (MFA) lov. Slå på nu och slipp få kontot övertaget av hackare. Även om SMS-varianten inte är så säker, är den många gånger bättre än att bara använda lösenord. Bäst är ju appar som Google Authenticator och Microsoft Authenticator som används för att generera en tillfällig kod från mobilen när du loggar in på siten du ska till..

Men det finns en baksida som kommer bli allt mer och mer tydlig när alla går över till MFA. Är det att det tar längre tid att logga in? Nej, absolut inte. Det är en acceptabel ”trade off” om du frågar mig.

Nej, problemet är vad som händer när du tappar mobilen, den går sönder eller du får den stulen. Vad gör du då?

Jag kollade runt lite på det hela och exakt vad som händer när du inte längre kommer in på dina konton beror på siten i sig. En del har backuplösningar så att du kan skicka koder till telefonnummer. En del ger dig ett masterlösenord som du förväntas skriva ut och lagra någonstans eller spara i en lösenordshanterare. Detta låter dig komma in i alla fall. Men en del siter beklagar bara att ditt konto nu är omöjligt att återställa.

Det finns diverse lösningar för att backa upp authenticatorn, men det är något som kräver en del arbete för att fungera. Om du nu genererar koder för en 10-15 konton i mobilen är det hög tid att planera för hur du ska komma in i siterna om du blir av med mobilen.

Processen med borttappade lösenord är ju enkel, de flesta siter har en ”forgot my password”-knapp. Men en sådan skulle ju vara en väg runt säkerheten om det var möjligt att återställa tillgång till kontot på det sättet med MFA påslaget trots att du tappat mobilen. Så det kan aldrig bli en lösning i framtiden.

Detta har vi sett förut: hur nya lösningar rullas ut och blir riktigt populära innan problemen har lösts.

Tror detta inlägg i framtiden kommer mynna ut i en diskussion om backuper. Har du ett Office 365-konto? Ett Google konto? Bra, var är då dina backuper av innehållet på dem? Värt att fundera på, eller hur?

26 december, 2019

Hur blir 2020-talet? Ingen aning…

2020 .. Vad skulle Nostradamus ha sagt? Bara nonsens, antar jag. Det brukar vara så med honom.

Morsan visade mig en bild av hur en tidning på 50-talet trodde att 2000-talets hem skulle kunna se ut. Den visade ett vardagsrum och vi var båda fascinerade över att TVn faktiskt så ut som en riktig platt-TV och satt upphängd på väggen. Det var exakt det enda de fått till rätt. Alla andra saker i rummet hade ett av två problem:

  • De var för radikala gissningar
  • De var för konservativa gissningar

Rummet såg ut som ett typiskt 50-talsrum, alltså en konservativ gissning, och ingenting kändes framtida. Andra idéer var opraktiska saker som idag inte går att bygga eller ingen någonsin tänkte på – man byggde andra, mer användbara prylar istället.

Så nu är vi där igen. Bara för att årtalet känns jämnt och vi kommit på att vi står på randen på ett nytt decennium, så måste alla gissa på vad som händer fram till 2030? Har vi någonsin gjort rätt i detta avseende? Svaret är varken Nostradamus och någon annan kan sägas ha kommit fram med en komplicerad uppsättning gissningar som träffat ens i närheten av facit. Detta glömmer vi nu för resten av inlägget och börjar (kill)gissa helt vilt.

Konservativa gissningar:

Multifaktorautentiseringen tar över och lösenorden försvinner, attackerna fortsätter att bli allt smartare och farligare. För ett tag kommer sociala medier hålla världen i ett järngrepp. Allt blir uppkopplat… Alltså verkligen allt… Livslängderna för varje system går ner och ingenting blir varaktigt. Sårbarheterna blir allt fler trots bättre kodningstekniker. Alla teknologier går upp en Internet (Radio, TV, bilar, flyg, broar)

Normala gissningar:

En ny, disruptiv teknologi kommer ändra precis allt. För tio år sedan var det smarttelefonen. Vad blir det denna gång? Blir det bara en EN ny uppfinning? Allt fler blir uppkopplade, Afrika kommer fram som en allt mer viktig spelare, ivrigt påhejade av Kina. Då och då kommer en charlatan fram och lurar oss att köpa något som till sist bara visade sig var en bluff. Internet kommer helt eller delvis sluta fungera ibland på grund av nya attacker. Det blir troligen mest en irriterande sak än något som kastar oss tillbaka till tidigare epoker. Mynt och sedlar blir ovanliga och fasas ut i stora delar av världen. Övervakningen är överallt och algoritmerna som räknar ut vad vi vill, tänker göra och hur vi kan påverkas blir kompetenta … på riktigt… AI blir bättre och mer effektivt. Vi får se nya attackvektorer som vi aldrig hade kunna gissa. … Och jag har säkert missat alla andra saker som kommer hända.

Radikala gissningar:

Det första maskin-människa-interfacet blir populärt. Det blir på mode att operera in datorer i huvudet. William Gibson får förhoppningsvis uppleva detta och se hur Neuromancer kan se ut i verkligheten.

Vi bygger den första AI:t med lika många (simulerade) neuroner som en människa. Den är inte självmedveten. En världsomspännande katastrof dödar en signifikant del av mänskligheten.

Vansinniga gissningar:

Disco gör comeback och dragspelsmusik blir populärt igen. Den vanliga huskatten evolverar fram tummar och tar över världen.

Vad tror ni? Har jag fel eller har jag fel?

//Erik

11 december, 2019

Dags att gå med i det lila laget?

Go purple team! Go to new places, create new systems… and destroy them…

Som du säkert vet, är det ”blå laget” försvarare och det ”röda laget” attackerare. Dessa färger används ofta när man beskriver en grupp av pentestare som ett ”red team”. Blandar man röd och blå, får man lila. Något lila lag finns ju inte, men detta är något jag vill slå ett slag för.

Om du jobbar med att attackera webbapplikationer, är det en mycket bra sak att ha kunskaper i hur man bygger dessa. Tvärtom är också sant.

När jag första gången byggde ett REST API, visste jag direkt hur det borde byggas för att skydda mot attackerare, eftersom jag har testat andra kunders sådana. Det visade sig vara mycket fördelaktigt att utgå från att man ibland är en anfallare och se om man kan få igenom skadliga anrop i systemet man just byggt. Givetvis kan inte detta ersätta att man låter en oberoende testare gå lös på det senare, men det gör mycket för att höja grundnivån redan från början.

Men om man börjar på det ”blå laget” och bygger system och applikationer, hur blir man bättre på ”red teaming” ? På samma sätt: man vet hur saker fungerar, vilket gör att sårbarheter och attacker helt plötslig blir mycket enklare att förstå. En låssmed är väl förberedd att lära sig bryta sig in i byggnader.

Personligen skulle jag säga att jag inte ens tror att det är möjligt att bli med i det röda laget med mindre än att du kan djup systemadministration och infrastrukturdesign. All programmering, som jag skrev, är av godo här.

Så se till att skaffa dig en djup förståelse av allting som du är satt att attackera. Det räcker inte enbart med mantrat ”tänk som en hackare”, även om det hjälper (det skrev jag ju i ett tidigare blogginlägg!)

4 december, 2019

Ett år i ”etern”

Generisk bild av tårta. Vi spelar in ljud här! Vad vet vi om clipart?

Vårt första avsnitt av IT-säkerhetspodden lades upp utan för mycket fanfar söndagen den 25 november 2018. Det är nu drygt ett år sedan i dessa dagar.

Själva idén till podden verkar ha olika förklaringar beroende på när du frågar oss. Exakt vad som ledde fram till att vi kom på detta är jag inte helt klar på. Men jag hade gjort ett videoklipp där jag förklarade hur man metodiskt felsöker som jag mest minns för mitt stolpiga talande efter manus och min oförmåga att uttala ”Google Chrome” korrekt. Denna gav både mig och Mattias lite blodad tand, eftersom det var han som hade föreslagit att jag skulle spela in inslaget som började som en föredragning av mig inför mina kollegor. Sen hade en annan kollega på vårt gemensamma jobb tidigare drivit en podd. Så det låg liksom i luften på något sätt.

En kväll satt vi på en restaurang och bestämde oss för att hålla en podd live. Den spelades inte in, men vi låtsades att det var på riktigt. Vårt första avsnitt är baserat på vad vi pratade om den kvällen och handlar om virus. Jag börjar med att skämta om att jag hoppas vi plockas upp för sändning, precis som pilotavsnitt av TV-serier används för att övertyga TV-nätverken att köpa en säsong av serien.

Så var vi alltså igång och vi pratade om filterbubblor, DMARC, Zero trust network. Mattias tyckte att vi borde gör intervjuer, vilket vi rätt snabbt insåg var en bra grej. Det både drog nya lyssnare och dessutom fick vi möjligheten att låta andra berätta spännande historier. Intervjuerna, visade det sig snart, blev populära och vi fortsatte.

Det var ganska klart rätt snabbt att vi inte kände att vi var tvungna att hålla oss strikt till ett område och med avsnittet om prepping gick vi till och med utanför vad som traditionellt menas med IT-säkerhet.

Mattias och jag har några gånger stått på scen och pratat om olika ämnen inom IT-säkerheten, vilket gått bra och dragit publik.

Under hösten tyckte vi att vi skulle slå ett slag för historieberättandet och började därför att försöka väva in intressanta berättelser i avsnitten.

Vi har hunnit med att starta ett mycket lyckat samarbete med SIG Security, göra totalt runt 60 avsnitt under denna tid.

Scroll to top