Författare: Erik Zalitis

10 januari, 2021

Show Notes för #106 – Hotet inifrån

Ok, allesammans, här är Lisa-Kalle, vår nya ekonomichef. Hen har av egen vilja bett att få intervjua er alla för att få veta mer om ert jobb och vad ni har för privata intressen. Hen är hygglig, men gillar sin Stetsonhatt och sin trenchcoat. För att inte kränka hens känslor och visa en inkluderande företagskultur ska vi givetvis vara öppna för hens klädval och att hen gillar att gå runt med en blomma med någon glaspryl i mitten på i kavajslaget.

Avsnittet: #106 – Hotet inifrån
Inspelat: 2021-01-09 (publicerat 2021-01-10)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Vi kan ju inte låta bli att nämna ”Dr Strangelove” denna gång heller. Scenen då Sovjets president springer runt i USAs krigsrum och fotograferar hemliga dokument med en mikrokamera är hejdlöst rolig och kan räknas som någon form av insiderbrott… trots att han är outsider… Kanske man kan se honom som en konsult inplockad i ett nödläge, eller så ska man inte tänka så mycket sådant där i en svart humor-baserad film.

Så vilka tre (alltid tre-tal!) insiders finns det?

  • Den gör fel och skickar ut data eller gör skada.
  • Den som är lurad av någon annan och gör saker utan att förstå konsekvenserna.
  • Den som är illvillig och vill göra skada, tjäna pengar eller hjälpa någon på utsidan.

Det är lätt att alltid tänka på den illojale medarbetaren när man pratar insiders, men det är att förenkla det hela uppenbarligen. Men svårigheten är att den som gör misstag och den som blir lurad av någon (i viss mån) kan stoppas relativt effektivt. Den som är lurad och guidas av en van cyberbrottsling eller den som själv slår sig in på cyberbrottets banan är så pass svåra att stoppa att det kan vara rent av omöjligt att hindra detta.

Mattias drar sedan följande exempel på insiderbrott:

  • Microsofts databas läckte ut på grund av anställdas oaktsamhet. (2019)
  • General Electric-anställda stal affärshemligheter för att få en affärsfördel.

Det är två olika händelser men de är båda exempel på hur denna typ av problem trots att förutsättningarna skiljer sig radikalt.

Lösningen är att satsa på att:

  • Hindra läckage med DLP-lösningar.
  • Införa mikrosegmentering.
  • Skapa en kultur där man ser till att folk inte accepterar slarv med säkerheten eller att man gör saker som kan vara brottsligt.
  • Se till att ha en livs-cykelhantering där man kontinuerligt ser över rättigheterna när användare byter arbetsuppgifter eller avdelningar.
  • Se till att konton skyndsammast tas bort eller kanske bättre, deaktiveras när någon slutar eller tar tjänstledigt.
  • Se till att övervaka system- och nätverkshändelser som tyder på olämpligt beteende även för de med godkända rättigheter.
  • ”Least privilege” – bara ge användarna exakt de rättigheter de ska ha.
  • ”Separation of duties” – se till att kritiska handgrepp kräver att minst två personer är närvarande för att kunna utföras. Var av dem ska då ensamma inte kunna utföra uppgiften.
  • ”Forced vacation” – Tvinga de med höga behörigheter att ta semester för att hindra dem från att ensamma kunna driva en plan för att utföra olagliga handlingar mot sin organisation. Under deras semester kommer en annan person ta över och är då sannolik att upptäcka irregulariteter. Detta skyddar också mot misstag om folk blir trötta och ofokuserade med tiden.
  • Förankra policies och krav på sänkta behörigheter med ledningsgruppen då detta ger IT-avdelningen den kraft som krävs för att kunna genomföra dessa. Utan ledningsgruppen påskrift kan användarna motsätta sig att acceptera striktare policies.

Errata

  • Erik berättar om Terry Childs som höll San Franciscos fibernätverk gisslan att detta var möjligt för att de inte tog ifrån honom rättigheterna när han fick sluta. Det är i stort sätt vad som hände, fast han satte faktiskt igång att låsa andra ute på grund av att han kom i bråk med sina medarbetare om en policy för att lämna ut lösenord. Och detta skedde INNAN han fick sparken. Det var alltså mer av att han hade för mycket rättigheter snarare än att de inte hade fungerande livscykelhantering. En liten korrigering, men ändå viktig att göra.

Länkar

Fängelse för att han låste administratörerna i San Fransiscos nätverk ute för denna Terry Childs:
https://www.govtech.com/security/Former-San-Francisco-Network-Admin-Terry.html

Anders Sandberg pratar om att skapa en säkerhetskultur och hantera informationssäkerhet i verkligheten.
https://www.itsakerhetspodden.se/podcast/9-kommer-vi-ha-hemligheter-i-framtiden/

Vi pratar om attacken mot AddTech, som visserligen inte var ett insiderbrott, men visar på problemet med lateral förflyttning:
https://www.itsakerhetspodden.se/podcast/71-attacken-mot-addtech/

Det må ha varit över 20 år sedan, men Love letter visar på faran med att inte begränsa användares rättigheter:
https://www.itsakerhetspodden.se/podcast/65karleksbrevfranfilippinerna/

Informationsläckage, som är vanlig effekt av insiderbrott är ett ämne i sig:
https://www.itsakerhetspodden.se/podcast/63-informationslackage/

Mikrosegmentering och Zero-trust network hör ihop:
https://www.itsakerhetspodden.se/podcast/8-zero-trust-networks/

19 december, 2020

Show Notes för #105 – Israel och Enhet 8200

The Matrix är alltid spännande, men denna version kommer med en flagga också!

Avsnittet: 105 – Israel och Enhet 8200
Inspelat: 2020-12-18 (publicerat 2020-12-20)
Deltagare: Erik Zalitis, och Mattias Jadesköld

Det är inte ett lätt ämne att ta upp, eftersom konflikten i Mellan-Östern varit en stor del av vår efterkrigshistoria. Och försöker inte ens. Detta avsnitt talar om Israels omstrukturering av sin underrättelseverksamhet efter 1973, när de oväntat attackerades.

Det mesta i avsnittet är självförklarande, men några viktiga punkter borde ändå tas upp.

Övervakning och säkerhet

Vi har pratat övervakning många gånger och personligen vill jag inte ännu en gång tala om frågan om ”privatliv <-> säkerhet”. Vi har redan gjort så när vi gick igenom ”Hemlig data-avläsning” och ”Ansiktsigenkänning”. Så när Mattias undrar om Israels underrättelsetjänst blivit för bra för sitt eget bästa, syftar han ju på nyheten att Israel under många år övervakat sina egna medborgare.

De flesta vet att jag är mycket tveksam till övervakning av invånare, eller till och med ordentligt negativ till det. Men detta är inte rätt tillfälle för en sådan diskussion (igen), så vi diskuterar det som någonting som de flesta länder redan gör och att det inte kan räknas till paranoia att förvänta sig det. Att värdera detta undviker vi så gott det går i detta avsnitt, istället försöker vi hitta motivationen till inhemsk övervakning och se varför det sker utan att nödvändigtvis anta illvilja.

Framtiden

Då avsnittet främst talar om historien och händelser i den exakta nutiden, finns inte riktigt uttrymme att spekulera om framtiden. Detta sker istället i andra avsnitt.

Men det är nog inte så svårt att gissa att underrättelsetjänsterna kommer att slåss om att spela i division A, B eller C. Och att nya metoder för påverkan, övervakning och reflexiv kontroll. Vi har givetvis pratat om det från historia till framtid i avsnittet med Fredrik Eriksson från Försvarshögskolan.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

DN om övervakningen av det egna folket:
https://www.dn.se/varlden/sakerhetstjansten-fick-klartecken-att-spara-mobiltelefoner/

Alla underrättelser behöver ju inte vara tekniska i sin kärna:
https://sv.wikipedia.org/wiki/HUMINT

Cyberattack mot Israel december 2020:
https://www.timesofisrael.com/israels-supply-chain-targeted-in-massive-cyberattack/

Enhet 8200:
https://en.wikipedia.org/wiki/Unit_8200


6 december, 2020

Show Notes för #103 – GDPR 2.0 med Agnes

Avsnittet: #103 – GDPR 2.0 med Agnes
Inspelat: 2020-11-27 (publicerat 2020-12-06)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.

30 november, 2020

Show Notes för #102 – Schrems II med Agnes

Där de tuffa typerna bor…

Avsnittet: #102 – Schrems II med Agnes
Inspelat: 2020-11-27 (publicerats 2020-11-29)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.

Schrems 2-domen sänder svallvågor över hela Europa. Men Agnes kan ge sakliga besked om vad det faktiskt innebär i verkligheten. Upplysande och även lugnande. Men detta innebär inte att det bara är att slappna av och fortsätta som om ingenting hänt.

I samarbete med SIG Security dessutom.

Länkar

Schrems2 – vad innebär det?

SIG Security:
https://www.sigsecurity.org/gdpr-privacy-shield-schrems-ii-nytt-poddavsnitt/

14 november, 2020

Show Notes för #100 – Säkerheten i HP SureClick

Eftersom vi inte vågar elda upp recensionsdatorn, får ni här en metafor för våra hårda nypor när vi granskade HP SureClick. Var den bra eller inte, lyssna vidare får ni veta….

Avsnittet heter #100 – Säkerheten i HP SureClick
Det spelades in 2020-10-25 och lades ut 2020-11-15.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

På YouTube.

Vi är ju normalt inte en ”videopodd”, så detta har varit en utmaning för oss. Jag har jobbat med ljudet och Mattias med bilden. Så här vårt första videoavsnitt där vi båda deltar. Vi kan inte lagra stora filer på Libsyn där vi skickar ut våra poddar, så avsnittet med video finns på YouTube och det med ljud finns där poddar finns (eller på denna sida).

HPs dator har ett antal säkerhetsfunktioner och vi har valt att gå igenom dem en och en för att se vad de klarar och var de inte räcker hela vägen.

Så till HP SureClick. Det lovar att den kan göra att din webbläsarsession körs i ett säkert läge, eller en ”detonationskammare” som jag kallar det. Effekten av en attack är att webbläsaren inte öppnar en väg in till resten av datorn, vilket annars kan leda till att ransomware får fotfäste, kryptobrytare får köra eller datorn kan tas över. När du stänger webbläsaren, raderas allt i den, vilket också avbryter all körande skadlig kod. Men allt du gör i webbläsaren i sig är inte säkert om någon tar över den och det du håller på med. Vilket kan vara banktransaktioner eller sessioner mot andra servrar eller ditt tillgång till ditt Facebook-konto.

Dessutom fungerar SureClick enbart med den inbyggda säkra webbläsaren som är en Chromium-klon vilken HP själva uppdaterar… ibland… Den äldre versionen av HP Sureclick lovade uppdateringar varje halvår. Detta är sällan och mycket oroande. När vi började testa, kunder Mattias konstatera att versionen av Chromium som du måste använda var 10 versioner efter den senaste som släppts. Chromium är ju också vad ”Google Chrome” är byggt på och den webbläsaren är troligen den mest eftertraktade att hacka för cyberbrottslingar.

Mitt under testet kom en ny version som lovar fler uppdateringar, men också tar bort stödet för alla andra webbläsare än den säkra.

Ehh… Läs NOGGRANT!!!

Rutan ovan finns i tillägget som är installerat i riktiga Google Chrome, som du kanske laddar ner och installerar på datorn, och det lovar dig säkerhet… Men det är inte sant, du måste klicka på ”Open new Secure Browser window” för att den säkra webbläsaren ska starta. Direkt vilseledande och garanterat att få folk att tro att de är säkra när så inte är fallet. Katastrofalt dåligt!

Borde man överhuvudtaget tillåta att köra saker utanför denna SureClick-funktion? Jag påpekar i avsnittet dumheten med ett säkerhetsskydd som man slår av och på hela tiden beroende på vad man gör.

15 hot… Från Enisa… Klicka på bilden för en större version.

Mattias valde att ställa upp SureClick mot det 15 vanligaste säkerhetshoten just nu. Vi går igenom dem steg för steg och snackar om de som är relevanta för diskussionen. Det är värt att notera, som jag skrev i början, att SureClick bara är EN av många funktioner som skyddar maskinen. Vi kommer givetvis ställa upp de andra säkerhetsfunktionerna mot hoten. Så i sin helhet kan datorn hantera fler hot än vad SureClick i sig själv klarar av. Men denna lök ska ju skalas, så det är vad vi gör i detta avsnitt.

Läskiga sajter som vi testar att ladda och som ändå inte ska kunna slå sig ur detonationskammaren… Inget hemskt hände denna gång i alla fall.
8 november, 2020

Show Notes för #99 – Hur blir man hackad med David Jacoby

Jag startade Rodecastern några minuter i fyra söndagen den 1 november 2020 efter att ha fått kontakt med David som sprang runt i sitt hus med sitt headset på. Vi kom att prata i 90 minuter, men någonstans måste man ju dra en gräns, så avsnittet är knappt 60 minuter. Bland det bortklippta i detta videosamtal finns när jag fick se Davids alla Amigor, C64or och Ataris som fanns i källaren. Han har också ett antal BBS:er som man kan ”ringa” till via telnet också.. Otroligt häftigt.

1 november, 2020

Show Notes för #98 –Antiviruskungen som blev mordanklagad

John McAfee med sina många flickvänner, dock inte någon av de tillfällen där de försökt mörda honom. Och badsalt är troligen inte särskilt spännande att snorta… Har jag hört… Från en vän… Eller nå’t … Sluta titta på mig!

Avsnittet heter #98 – Antiviruskungen som blev mordanklagad
Det spelades in 2020-10-24 och lades ut 2020-11-01.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

Vid 22:51 pratar vi om SEC (U.S. Securities and Exchange Commission) som mycket riktigt utreder ekonomisk brottslighet. De har dock mycket mer strängar på sin lyra, men det är inte riktigt relevant för denna diskussion.

Vi hamnar också i en diskussion om libertianer och piratpartiet där det gäller att hålla tungan rätt i mun för att vara saklig. Så är det alltid när man kommer in på ämnet politik oavsett vad man pratar om. IT-säkerhetspodden blir inte politiska och vi tar inte ställning.

Vi pratade faktiskt med Piratpartiets Katarina Stensson förra året om deras syn på bland annat IT-säkerhet. Den intervjun finns givetvis att lyssna på.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Och, givetvis, här är videon för er som inte ännu har slutat tro era ögon…

Badsalt, brudar och avinstallation på ett mycket brutalt sätt… McAfee levererar…
24 oktober, 2020

Show Notes för #97 – Hacktivismens historia

Mwah! Jag finner eder bristande ”säkerhet” mycket intrikat. Den kommer i tidens fullbordan sätta edert sällskap i en mycket prekär .. ska vi säga… situation… Mwah!

Avsnittet heter #97 – Hacktivismens historia
Det spelades in 2020-10-24 och lades ut 2020-10-25.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

Sent ska syndaren vakna… Det är onsdag idag när jag skriver show notes för detta avsnitt. Men nu så… Det har varit en pressad vecka med crunch time, intervjuer att planera, ett heltidsjobb och dessutom en YouTube-video där vi pratar HPs lösning SureClick. Så till ämnet…

Det är svårt att hålla sig från politiken när man pratar hacktivism, men vi gör vad vi kan för att ge er historierna, faktat och analyserna. Jag brukar ofta säga att den typiska hackaren gör sitt jobb för pengar. Och så är det. Men idag talar vi om hackaren/hackarna som har ett högre och mer ädlare syfte. I alla fall ser de själva vad de gör på detta skäl. Så de hackar för att avslöja ogentligheter, berätta hemligheter som makthavare inte vill att du ska veta och stoppa de som gör dåliga saker i denna värld.

För att ta det väldigt enkelt:

Bra med hacktivism:

  • Avslöjar saker som annars kanske aldrig skulle komma fram.
  • Driver opinion mot oärliga organisationer.
  • Fungerar som ett komplement till vanlig journalism.
  • Minskar skillnaden mellan de med makt och de utan.

Dåligt med hacktivism:

  • Aktivisterna kan bestämma målet utifrån sin egen värdegrund snarare än viljan att upplysa världen.
  • Du får aldrig veta vilka de är, vilket döljer deras egen koppling till situationen. Du vet heller inte om de tillhör en annan gruppering med en agenda.
  • Ingen möjlighet att ”överklaga” eller begära ut hur de gjort sin undersökning och sina attacker. Bevis måste ofta accepteras i befintligt skick utan att kunna veta om det förfalskats på vägen.
  • Godtycke är sannolikt att uppstå.

Det finns givetvis mycket mer att anföra här, men vi håller det schematiskt för att göra det lätt att sätta sig in i. Den som är intresserad, kan följa länkarna nedan för mer information.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Den där masken Anon använder, föreställer Guy Fawkes, en person som fanns på riktigt. Och som ville spränga Brittiska parlamentet:
https://sv.wikipedia.org/wiki/Guy_Fawkes

Anonymous vs Mexikanska maffian (Los Zetas)
https://smallwarsjournal.com/jrnl/art/anonymous-vs-los-zetas-the-revenge-of-the-hacktivists

Vad är en hacktivist?
https://www.uscybersecurity.net/hacktivist/

LulzSec
https://en.wikipedia.org/wiki/LulzSec

Dog anonymous i samband med  Hector Xavier Monsegurs gripande?
https://www.wired.co.uk/article/anonymous-sabu

Hacktivism idag (Twitters statistik)
https://securityboulevard.com/2020/06/analysis-of-the-top10-hacktivist-operations/

18 oktober, 2020

Show Notes för #96 – Hillary Clintons epostserver

Jag tror problemet var att de var lite väl lugna med det hela. En god portion panik hade nog varit bra, när servern vart hackad.

Avsnittet heter #96 – Hillary Clintons epostserver
Det spelades in 2020-10-16 och lades ut 2020-10-18.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.

Man skulle kunna säga att de Amerikanska presidentvalen 2008 och 2016 är de första där hackare började kunna påverka dem på riktigt. Det är många berättelser vid det här laget, men denna gång handlar det om Hillary Clintons epostserver och hur denna kom att påverka hennes förtroende negativt.

Avsnittet beskriver händelseförloppet bra, så jag tänker inte nämna det här, utan använder istället detta utrymme för att förtydliga saker.

Vid 23:48 tar jag en kort utvikning om epostskandalen 2016, där epost från Demokraternas valkampanj läckte ut. Detta visar på att det inte enbart är Hillarys server som varit ett problem.

Att redigera inslaget blev stökigare än vad jag väntat och jag satt in på småtimmarna och försökte få ihop alla delarna med utvikningar så att de hängde ihop. Men till sist fungerade det som det skulle.

Errata

  • En första version av detta avsnitt hade en del problem med hur det redigerats. En korrigerad version lades ut runt 11:10 söndagen den 18 oktober.

Länkar

Hillarys epostserver:
https://en.wikipedia.org/wiki/Hillary_Clinton_email_controversy

DNC-läckan 2016:
https://en.wikipedia.org/wiki/2016_Democratic_National_Committee_email_leak

Vem är Guccifer?:
https://en.wikipedia.org/wiki/Guccifer

11 oktober, 2020

Show Notes för #95 – e-signering med Conny Balazs

Ett annat perspektiv på frågan: säkerheten kommer till ett pris, det blir svårare för pensionärer att kunna hantera denna nya flora av tjänster som låter dig göra allt hemifrån.

Avsnittet heter #95 – e-signering med Conny Balazs
Det spelades in 2020-10-05 och lades ut 2020-10-11.
Deltagare: Erik Zalitis och Conny Balazs
Show notes skrivna av Erik Zalitis.

Denna resa blev kort. SEBankens kontor råkar ligga 10-12 minuters gångväg från där jag bor, så det var bara att slänga bagen med ljudprylarna över axeln och knata över. Conny mötte mig i receptionen och inspelningen blev kort och effektiv. Allt var gjort på under en timme eller så.

För mig är den första tanken som kommer upp när jag tänker på e-id alltid mobilt bankid. Det är dock viktigt att inse att det bara är en tjänst som använder e-id. Dessutom bör man tänka på att det är flera funktioner som samsas i den. Vad jag också Conny pratar om är mer själva funktionen än just mobilt bankid. Och det är en helt ny värld för många. En som lovar stora saker som säkrare signaturer och möjligheten att inte behöva mötas för att kunna göra affärer.

Men givetvis finns det mörka sidor som problem när tjänsten inte fungerar, risken för att bli lurad av oseriösa aktörer som ringer dig och försöker få dig att signera saker, problem med att tjänsterna är olika över hela Europa trots eIDAS och att det är ont om reservplaner när man inte kan använda dem.

Tankar:

  • Lite märkligt, men det stora hotet mot mobilt bankid idag är gamla hederliga bedragare snarare än sofistikerade tekniska attacker. Men det kanske inte är så konstigt ändå. Social engineering är troligen den mest kraftfulla attacktypen som finns. Det har vi pratat om förut.
  • Den dagen kvantdatorer blir tillgängliga är nog nästan all kryptografi i farozonen. Men det är osannolikt att hända under de kommande 10-20 åren.
  • Det finns verkligen inget bra svar på frågan om alternativa lösningar till e-tjänsterna vi förlitar oss på om de krånglar. Jag föreslår sedlar i plånboken samt en del pengar hemma för att kunna hantera avbrott. Preppern har talat!

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Sebanken:
https://seb.se/

Betrodda tjänster enligt eIDAS:
https://www.pts.se/sv/bransch/internet/betrodda-tjanster-eidas/

Scroll to top