ShowNotes

26 september, 2020

Show Notes för #93 – Mikko Hyppönen

Vinnare 2018, 2019 och 2020 av priset ”Bistraste minen i IT-säkerhetsbranschen”. Segertippad även för det kommande decenniet. Man blir så av att jobba i branschen, tro mig.

Avsnittet heter 93 – Mikko Hyppönen
Det spelades in 2020-09-22 och lades ut 2020-09-27.
Företaget heter F-secure.
Deltagare: Mattias Jadesköld, Miko Hyppönen och Erik Zalitis
Show notes skrivna av Erik Zalitis.

Så, sitter här mitt i natten och skriver på Show notes. Just klar med FOIs 20/20CTF, där jag var med i ett lag och tävlat i att hacka system. Vi kom på en rätt hygglig plats, trots allt, men inte bland topplagen. Sånt ska man hålla på med för se att att fortsätta vara skärpt som säkerhetstestare, tycker jag. Men nog om detta.

För ett antal år sedan tyckte en kompis att ”han inte ville ha en säkerhetsprogramvara gjorda av några paranoida finnar”. Men det kan man nog mycket väl vilja. Mikko Hyppönen har varit kopplad till F-secure så länge att han minns när de var kända som ”Datafellows” på 90-talet.

mikko on Twitter: "The original Data Fellows logo was done by Risto.… "
80-talet ringde och ville ha tillbaka sin logga. 90-talet ringde direkt efter och ville ha tillbaka ”x ringde och…”-skämtet. Jag har ingen telefonledning till huset längre, så jag kunde inte svara.

Tittar man när på deras gamla logga ser man att den faktiskt formar bokstäverna ”DF”.

Mikko dundrar på om att man inte behöver ha sin brödrost uppkopplad mot nätet och att detta huvudsakligen sker för att företagen vill ha din användningsdata. Men hackarna vill ju också in. Han låter som vi gjort i texter och avsnitt sedan 2018. Skönt att inte vara ensam.

Han kallar sig en nörd och ståtar med en Atari-tröja dagen till ära. Jag vill inte öppna diskussionen om hur mycket bättre Amigan är. Känns synd att sabba intervjun redan innan den börjat.

Mikko minns 2000-talets maskar och hur han direkt drabbades av dem, precis som alla vi andra som jobbade med IT under den tiden. Men till skillnad från oss, har han sett spektaklet på ett mycket närmare och djupare håll.

Vild panik och strulande maskiner

Allt strular som vanligt… Det vore inte produktion om det inte innehåller minst en total härdsmälta och en situation där ingen hör den andre…

Inspelningen var planerad till 17 lokal Svensk tid och jag satt klockan 15 och pratade i lugn och ro med min chef. Allt var väl, tills Mattias slet upp dörren och sa att det börjar nu. Men…. Men…. Det visade sig att tidzonerna blandats ihop och klockan i Finland visade att det var dags. Istället för att sätta upp och testa allt en timme innan start, kastade jag ihop allting och riggade upp i vild panik. En ny programvara skulle testas och helt plötsligt var det svårt att höra varandra. Sen ledde ett kabeltrassel till att det sprakade i Mattias ljud. Så jag har haft att göra genom att försöka tråckla ihop allting. Det låter hyggligt, men spraket gick inte att göra så mycket åt.

”We’ll fix it in post”, alltså att fixa det i post-produktion, är en mycket tveksam sak att säga under inspelning. Säger man det, är det 100% sannolikhet att det inte kommer att gå. Men… men… Allt ska inte vara en dans på rosor. Varför säger man så egentligen? Är inte rosor ganska taggiga? Dansar hellre på glödande kol…

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Företagets hemsida:
https://www.fsecure.com/

19 september, 2020

Show Notes för #92 avancerat skydd med Joakim Sundberg

Välkommen till nyheterna. Detta händer just nu: alla hackar allt, man DDOSor också hela tiden och sen händer ibland även dåliga saker. Detta var nyhetssändningen, nu tillbaka till dagens pausfågel.

Avsnittet heter 92 avancerat skydd med Joakim Sundberg
Det spelades in 2020-09-11 och lades ut 2020-09-20.
Företaget heter Baffin bay networks.
Deltagare: Mattias Jadesköld, Joakim Sundberg och Erik Zalitis
Show notes skrivna av Erik Zalitis.

Först den uppenbara geografiska kopplingen till företaget: Baffin bay är ett riktigt ”fly over”-territorium för den som ska till t.ex. San Francisco.

Havet är tydligen lite blåare här, om man tror att kartor alltid visar världen som den ser ut, men annars verkar det inte vara så mycket som verkar pågå.

Baffin Bay Networks må ha snott namnet från just den bukten, men de är bra mycket mer intressanta för IT-säkerhetsfolk rent allmänt. Joakim, som jobbar där och även är en av grundarna, ger klara besked både om vad som krävs för att skydda stora tjänster och hur attackerna på nätet ser ut.

Det som förvånade mig, som ju tror att jag vet något om IT-säkerhet, var när Joakim berättade att DDOS-attacker oftast är ”digitalt klotter” utan avsikter att utpressa ägaren till systemet. Men så är det givetvis.

Rätt uppenbart är det otroligt svårt att skydda mot alla hot på nätet. Och de mest krävande systemen kräver idag att trafiken måste gå genom ett avancerat filter där man plockar bort allting som kan skada det mottagande systemet. Och statiska filter som tar bort kända signaturer räcker förmodligen inte för system som är utsatta. Baffin bay har tagit fram en ”avancerad molntjänst” som ställer sig i vägen för trafiken som ska till deras kunder. Detta gör att det som väl når fram, precis som jag skrev ovan, har gått igenom stora mängder kontroller och sannolikheten att något skadligt nått fram är därför låg.

Idag kan ingen vara en ”single point of failure”, så de har inte nöjd sig med ett data center på en plats. Istället har man data center i närheten till kundens datacenters geografiska position. Man använder peering för att kunna vidmakthålla bra prestanda genom tjänster.

Metropolen Västberga. Före detta huvudkontor för Ericsson.

De har placering i Singapore, Frankfurt, Amsterdam, Stockholm… och Västberga… Känns som en rätt udda plats, givet hur internationella de andra städerna känns. Sist jag kollade, låg väl dessutom Västberga i Stockholm också.

Förutom skydd för attacker mot server, är deras viktigaste skydd att de kan hindra distributed denial of service-attacker från att lyckas ta ner tjänster.

Vi hinner också snacka lite om störningar på Century networks och varför det gick som det gick (hint: det var inte aliens, hackare eller butlern som gjorde det).

Spelas det en Abba-cover på radion? Nix, det är faktiskt lite mer allvarligt än så.

Går du till deras hemsida, finns en nödknapp som ger dig ett telefonnummer att ringa om du är utsatt för elaka typer som försöker sabba din nätnärvaro. Visserligen en bra sak, men tror de flesta mår bäst av att fixa sin säkerhet innan det smäller. Dock vet vi att många väntar tills allt går åt skogen innan de funderar på sådana saker.

FPGA – virtualisering för dina transistorer

Vi pratar en del om FPGA (Field-Programmable Gate Array). Så vad är det? Om du kör en virtuell maskin, vet du säkert att den presenterar det operativsystem som körs virtuellt med en ”fejk-hårdvara”. Men denna ”hårdvara” fungerar inte som dess riktiga motsvarighet gör, utan bara tar emot samma kommandon och ger samma svar som den riktiga skulle ha gjort.

En FPGA virtualiserar däremot hårdvaran på grindnivå (alltså logikgrind, som en transistor i ett chip). Man kan alltså bygga ett riktig chip i mjukvara. Detta användes till en början för att bygga chippen som just mjukvara för att inte behöva bygga dem på riktigt innan man testat att de fungerar som de ska. Mycket billigare än att ringa fabriken varje gång man hittar en bugg.

Men denna teknologi har visat sig extremt snabb, effektiv samt säker. En hel del nätverksutrustning har gått över till FPGA-teknik för att göra prestandan bättre. De kan hantera nätverkstrafiken på ”tuple”-nivå, och på så sätt hålla koll på pågående sessioner utan att det kräver stora mängder prestanda. Effekten är att varje modul kan hantera stora mängder paket och kan hålla koll på TCP/UDP-sessioner utan att nödvändigtvis fylla upp en tillståndstabell (state table) när det blir mycket trafik.

De ger också möjligheten att bygga kretskort till gamla datorer som accelererar dem till oanade hastigheter. Apollos ”Vampire” till Commodore Amiga innehåller en 68080, en processor som aldrig funnits, men bygger på och förbättrar den Motorola 60060 som var den sista modellen innan serien lades ner.

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Företagets hemsida:
https://www.baffinbaynetworks.com/

Katastrof just nu? – de har givetvis även tänkt på detta:
https://www.baffinbaynetworks.com/under-attack

FPGA ger många fördelar för utveckling, säkerhet och hastighet. Men kan de trots detta hackas?:
https://www.darkreading.com/edge/theedge/meet-fpga-the-tiny-powerful-hackable-bit-of-silicon-at-the-heart-of-iot/b/d-id/1335730

IP reputation kommer från mailvärlden, men är givetvis inte begränsat till just detta:
https://www.mailchannels.com/what-is-ip-reputation/

12 september, 2020

Show Notes för #91 Digital kvinnofrid

Glada miner, trots ett allvarligt ämne. Matilda Sjöstrand till vänster och Mattias Jadesköld till höger.

Avsnittet heter 91-digital-kvinnofrid/
Det spelades in 2020-09-11 och lades ut 2020-09-13.
Deltagare: Mattias Jadesköld, Matilda Sjöstrand och Erik Zalitis
Show notes skrivna av Erik Zalitis.

Inte riktigt vad man tänker på när man hör ordet ”alltid uppkopplad”, men kanske borde man göra just det.

Länkar

Deras hemsida:
https://www.digitalkvinnofrid.se/

6 september, 2020

Show Notes för #90 – Technical support scam

Microsofts ”What me worry”-pose. Eller är det för elakt? De är faktiskt ganska aktiva i att informera allmänheten om dessa typer av brottslighet och hur man undviker att gå i fällan.

Avsnittet heter 90 – Technical support scam
Det spelades in 2020-09-04 och lades ut 2020-09-06.
Deltagare: Mattias Jadesköld och Erik Zalitis
Show notes skrivna av Erik Zalitis.

”Hello, we’re calling from Windows support”. Denna typ av support-scams har varit väldigt framgångsrika under de senaste tio åren, men de börjar bli mindre vanliga nu. Kanske har de gjort sitt och faktiskt blivit mindre lukrativa. Eller så finns det bättre metoder att lura folk? Som jag säger i podden, har varje attack sin tid eller som man säger i det stora landet i väster ”Every dog has it’s day”.

Letar man på Google efter Tech support scams, är det ”Scambaiters” som dyker upp först. Precis som vi säger i podden. är det personer som gärna djävlas med supportscammarna genom att ringa dem och försöka sabba för dem eller ta över deras datorer.

Episode 100: 100th Episode Spectacular | The Agile Revolution Podcast
Fråga: varför lägger man så mycket vikt vid faktor 10 av vår gemensamma talbas? Skulle folket i Babylon som baserade sin aritmetik kring bas 60 ens ha brytt sig? Troligen inte, det fanns nämligen inga podcasts på deras tid, jag säger bara det.

Men vänta lite! Vi måste ju också konstatera att vi just nått vårt första 100! Just det, idag lägger vi ut vårt hundrade avsnitt på Internet. Hurra… Vad blir det för firande? Inget, men vi är i alla fall glada över att det hänt!

Framtiden är dyster – för dem, inte för oss

En nedbrytning av olika typer av vägar som man kan råka ut för. De där samtalen man får, är uppenbarligen inte de enda vägarna in i eländet.

Antalet rapporterade fall av dessa bedrägerier har minskat från 68% till 63% enligt PCMag. Men en av fem kommer i alla fall att låta bedragarna leda dem vidare även om långt i från alla av dem blir avlurade pengar. 2018 rapporterades att 6% av alla som kontaktas förlorar pengar som en direkt effekt. Det är enkelt att se att detta är mycket bra siffor jämfört med t.ex. Spam. … Eller kanske ska vi säga dåliga siffror, eftersom vi faktiskt inte vill att de ska lyckas.

Errata

Nytt stycke där jag skriver om felaktigheter i avsnittet eller förtydligar saker som kan missförstås. Vi har givetvis gjort detta tidigare också, men det är tydligare att ge dem ett eget stycke.

  • Dock inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

PC-mags artikel om bedrägeriets nedgång:
https://uk.pcmag.com/news/118079/tech-support-scams-still-a-problem-but-things-are-improving

Det kan gå tufft till i branschen:
https://www.cbc.ca/news/canada/british-columbia/microsoft-tech-support-scammer-recorded-threatening-to-kill-b-c-man-1.2980453

En hel del matnyttigt som vanligt på Wikipedia:
https://en.wikipedia.org/wiki/Technical_support_scam

Kitboga, en av många lyckade ”Scam baiters”:
https://en.wikipedia.org/wiki/Kitboga_(streamer)

29 augusti, 2020

Show Notes för #89 – När Twitters VD blev nazist

Det kanske är elakt att se det som hände som en modern variant av en busringning, givet att det som skrevs var riktigt vidrigt, men det finns onekligen en del paralleller med samtal där man utger för att vara en känd person för att få denne att framstå i dålig dager.

Avsnittet heter 89 – När Twitters VD blev nazist
Det spelades in 2020-07-02 och lades ut 2020-08-30.
Deltagare: Mattias Jadesköld och Erik Zalitis
Show notes skrivna av Erik Zalitis.

Ok, det kanske inte är det mest finstämda att skriva en rubrik som invokerar Godwins lag, men där är vi. Det var ju också ganska exakt så det såg ut, när Jack Dorsey, Twittrade ett antal riktigt hemska Tweets. Men sanningen klargjordes rätt snabbt när Twitter meddelade att kontot hackats.

Visst kan man nöja sig med att bara snacka om hur det förmodligen gick till, vilket vi också gör. Men diskussionen går sedan i vidare svängar när vi funderar på om Svenska telebolag skulle kunna luras att aktivera SIM-kort de själva inte skickat ut. Sedan fortsätter vi att fundera på vad det innebär när vem som helst kan utge sig för att vara en viss person eller ha en viss kunskap och hur det påverkar hur vi tolkar och bedömer nyheter. Twitter är onekligen kraftfullt så att det skrämmer länder till att försöka stoppa tillgången till det, vilket blev standard för diktaturer att göra efter Arabvåren.

Men vad hade kunna hända om man inte bara använt kontot för att jävlas? Tänk på vilken skada något som kunde ha påverkat börsen skulle kunna ha gjort? Eller att läcka riktig information på detta sätt. En impersonering som denna hade kunnat användas för att göra bra mycket värre saker än vad som faktiskt hände.

Vi hade också en del tankar om hur detta kopplar till identitetsstölder, vilket detta på ett sätt faktiskt skulle kunna ses som. Detta inkluderar en sann historia där anti-piratbyråns ”piratjägare” Henrik Pontén fick sitt namn bytt hos Skatteverket.

Inalles en ganska intressant diskussion som gjorde bara dagar innan det senaste intrånget på Twitter kom att ske. Så det kanske verkar som vi missat det, men så är inte fallet, vi är helt enkelt inga Nostradamus. Inte för att de hade hjälpt givet dennes ”track record” för korrekta förutsägelser.

För att avsluta det hela, kan jag meddela att detta är det 99:onde avsnittet. Tillsammans med alla specialavsnitt som också gjorts, är vi faktiskt redan där. Nästa blir då ett 100-avsnittsjubileum.

23 augusti, 2020

Show Notes för #88 – Från det kalla kriget till dagens spioner på nätet

Avsnittet heter 88 – Från det kalla kriget till dagens spioner på nätet
Det spelades in 2020-07-07 och lades ut 2020-08-23.
Deltagare: Erik Zalitis, Fredrik Eriksson (Försvarshögskolan)
Show notes skrivna av Erik Zalitis.

“To know your future you must know your past” – George Santayana

Det kanske kan tyckas märkligt att avsnittet pågår i över 50 minuter innan IT-säkerhetsområdet berörs. Men detta är inte så konstigt. Hur länge har IT-säkerhet ens varit ett ämne? Inte lika länge som vi haft spioner, agenter, provokatörer och underrättelsetjänst. Vårt kära område ärvde allt detta innan det ens kommit en meter på vägen mot den verklighet vi har idag.

Fredrik Eriksson jobbar på Försvarshögskolan och har god koll på historien. Man skulle, som ni säkert vet, kunna säga att kalla kriget började efter 1945 när de såta vännerna USA och Sovjet började titta snett på varandra. Den värld som Roosevelt, Stalin och Churchill skapade på Jalta efter ett fylleslag eller två har vi levt i sedan dess. Sovjet må ha fallit och nya spelare har dykt upp, men kalla kriget är inte dött.

Någon gång på 2000-talet började världen ändras i en allt snabbare takt och Internet ändrade ekvationen totalt. De spelare som såg möjligheterna vann och de andra fick nöja sig med att gå kräftgång.

Fredrik Eriksson på Försvarshögskolan.

Fredrik har en enorm kunskapsbank som han gärna öser ur och avsnittet är faktiskt en timme långt, men Fredrik har inga problem att hålla det hela intressant och spännande.

Det är lätt att bli kallad foliehatt när man oroar sig för säkerhet och privat information, men Fredrik berättar klart och koncist om hur hoten faktiskt ser ut, baserat på sin egen och Försvarsområdets totala kunskap. Kalla mig gärna paranoid, men den dag Försvarsmakten INTE är det, då har vi problem.

Runt 49:30, citerar jag Asimov. Hela citatet ovan.

Länkar

Några tankar om framtiden från mig:

En mycket intressant diskussion om hur USA tappat mark och nya spelare tar över:
https://www.youtube.com/watch?v=hhMAt3BluAU

Kanadensaren JJ McCoullough berättar roat om påverkansaktioner han sett i verkligheten:
https://www.youtube.com/watch?v=2mQ8plzWl9g
(Alla påverkansaktioner görs inte nödvändigtvis av stater, man kan råka ut sekter, politiska organisationer eller andra aktörer som säljer ideologier eller synsätt)

… och till sist, jag passar på att tipsa om ett högst personligt litet projekt, en ”radiostation” som spelar Amiga-musik blandat med anekdoter från Amigans storhetstid. Det är inte en uns IT-säkerhet i den dock. Men allt kan inte handla om det, bara nästan allt…

https://www.youtube.com/watch?v=_4d6jszGais&t=41s
Watch my YouTube-channel, please! I’m a starving artist/entrepeneur/influencer who just wants free stuff! 🙂
15 augusti, 2020

Show Notes för #87 – Hollywood och hackaren – tre filmer som gör det rätt

Ok, det är film-hackning, men vad sjutton gör växeln -0??

Avsnittet heter 87 – Hollywood och hackaren – tre filmer som gör det rätt
Det spelades in 2020-07-02 och lades ut 2020-08-16.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Såååååå…. Vi är tillbaka med ett lite mer skämtsamt avsnitt där vi skrattar gott åt Holywoods oförmåga att förstå hackning. Helt ärligt behandlar de hackare som om de vore magiker från en fantasy-story. Kommandona de skriver på sina terminaler är ingenting annat än besvärjelser som de kastar vid tangentbordet. Så min jämförelse med alignments i rollspelvärlden är inget jag valt på slump. Det heter dock chaotic neutral och inte tvärtom:
http://easydamus.com/chaoticneutral.html

Sen vill jag notera att det låter som jag säger att NMAP kan användas för war dialing, det kan den inte. Jag uttryckte mig lite klumpigt, men menar helt enkelt att NMAP är som en war dialer fast för nätverksenheter. Egentligen inte en felsägning, men behöver förtydligas.

En accoustic coupler. Att tala om två muffar på en sandal är nog ingen vidare liknelse. Det är mer två muffar på en glasögonlåda, eller hur?

Mattias är nog rätt trött på mina utvikningar om retroprylar vid det här laget, men jag måste ändå få nörda ner mig i IMSAI-datorn och sandalen… eh… modemet.

Toneloc var en av den gamla tidens war dialers:
https://en.wikipedia.org/wiki/ToneLoc

Hollywood OS

Nu kan jag inte hitta det, men första gången jag såg begreppet Hollywood OS, var i en web serie där några IT-snubbar byggde ett och givetvis hade det blinkande varningsmeddelanden, rullande text, ljud när man tryckte på knapparna och så vidare. Eftersom jag inte hittar den (Vadå ”Internet glömmer aldrig” ?) får ni nöja er med dennas guide:
http://nand.net/~demaria/hollywood.txt

Nmap och porr

Screen is up here, dude!

För ett antal år sedan hade Nmaps hemsida en artikel om en filmad användarguide där en barbröstad kvinna lärde ut hur man använder verktyget, men de fick ta ner den, på grund att alla laddade ner bilderna och det blev för dyrt för dem ha dem kvar. Ibland undrar jag om vi människor egentligen är illa evolverade Bonobos…

Filmen heter ”HaXXXor Volume 1: No Longer Floppy” där E-lita (3-13378?) demonstrerar Nmap. Jag rekommenderar att man INTE söker efter den av ganska uppenbarliga skäl.

Här är alla gånger som Nmap setts i filmer (inklusive exemplet ovan!):
https://nmap.org/movies/

Portskanning är inte ett brott!

Tycker inte ja i alla fall, så om du har dolda portar som du inte vill ska hittas, bör du nog tänka om. Det är svårt att skydda sig mot att folk skannar dina nät om de kan nås från Internet.

Film: War games

Vi går ju igenom handlingen rätt ordentligt, så vi kanske inte ska prata så mycket mer om den här. Jag läste nyligen att John Lennon var tänkt att spela professorn i filmen. Men hans liv tog slut när han mördades av Mark Chapman december 1980, så det blev aldrig av.

Film: Matrix reloaded

Ja, jag gillade aldrig Matrix reloaded och Matrix revolting… ehh… revolutions. Däremot gillar jag att man kan hacka AI med SSH.

Och det är nördpoäng på att pausa sin DVD eller VHS

Appropå det där Family guy-avsnittet jag pratar om…

JA! Jag är #kränkt! Skämtet borde vara roligare. Seth för tusan!

Film: Office space

”Det är ju min häftapparat” tyckte mannen som inte riktigt fattade att han fått sparken, men ändå satt kvar. Filmen är ganska absurd och slutar med mordbrand och rutten moral.

Penny shaving och salami slicing är intressanta attacker där man i små steg, långsamt stjäl stora värden:
https://en.wikipedia.org/wiki/Salami_slicing

Sen låter de ju onekligen ganska ekivoka (vem är Penny, förresten?) vilket inte undgår oss i denna mer flamsiga diskussion.

Länkar

NCIS hanterar hackare riktigt illa … och sedan riktigt väl:
https://www.youtube.com/watch?v=u8qgehH3kEQ

4 juli, 2020

Show Notes för #83 – Turerna kring kritiserad ansiktsigenkänning

Vänta nu lite här… Så det finns alltså en metod för att neka tillgång till sitt ansikte när en kamera filmar en? Man behöver bara en lila ögonbindel och texten ”Access Denied” svävande över huvudet. Ok, låter rimligt.

Avsnittet heter 83 – Turerna kring kritiserad ansiktsigenkänning
Det spelades in 2020-07-02 och lades ut 2020-07-05.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Sommaren går nu in i sin lugnaste fas och det är en intressant observation att lyssnandet på podden mattas av något. Borde det inte vara tvärtom? Lyssnar inte folk mer på poddar i hängmattan? Kan vara så, men jag tror IT-säkerhetspodden har en trogen lyssnarskara som är på väg till eller från jobbet. En del poddar är avkoppling, men vår är nog information som folk tycker är vettig i sin yrkesutövning. Hur det än är med det, kan man snabbt konstatera att IT-säkerhetsproblemen inte tar någon semester.

Denna gång pratar vi ansiktsigenkänning och det finns en hel del beröringspunkter med tidigare avsnitt, som pratar djupare om vissa aspekter som vi tar upp i dagens avsnitt:

  • Hemlig dataavläsning – där vi pratar igenom polisens ny förmågor för övervakning med hjälp av trojaner.
  • AIs utveckling – där IBM och Microsoft pratar bland annat pratar om hur ansiktsigenkänning misslyckas med att känna igen folk och hur AI och maskininlärning inte alltid får till saker rätt.

Men tillbaka till dagens ämne: det finns det tekniska och det finns det sociala. Tekniskt sett är allting uppsatt för en perfekt storm, där datat till stora delar redan finns insamlat så att allt fler aktörer har allt fler korrekta identiteter med ansiktsdata i sina databaser. Det är inte omöjligt att tullen på en flygplats kan känna igen dig, när du äntrar hangaren, även om du är i ett helt annat land. Sen har tekniken brister, men dessa kommer lösas och för varje år som går blir samma data allt mer och mer användbart.

Dessutom kan man lätt se att antalet aktörer som kan få tillgång till ditt ansikte så att säga ökar. Polisen, företagen och troligen även allt fler privatpersoner får tillgång till möjligheter att spåra dig.

Det politiska programmet ”Last week tonight” skräder inte orden. Programledaren John Oliver berättar här om ansiktsigenkänning på ett roligt och ganska läskigt sätt.

Länkar

Som Mattias säger, kan all typ av teknologi som användas gör goda ting. DNA-teknik fångade till sist en serievåldtäktsman/mördare:
https://www.abc.net.au/news/2018-04-26/dna-links-former-us-police-officer-to-serial-killings/9698172

IBM slutar med ansiktsigenkänning efter mordet på Floyd:
https://www.nyteknik.se/digitalisering/efter-protesterna-i-usa-ibm-slutar-med-ansiktsigenkanning-6996868

Amazon likaså:
https://www.nyteknik.se/digitalisering/amazons-kovandning-pausar-forsaljning-av-teknik-for-ansiktsigenkanning-6996990

Svenska polisen använder modern teknik, men helgar ändamålen medlen?:
https://www.nyteknik.se/sakerhet/polisen-identifierade-utsatt-barn-med-kritiserad-app-6990417

Datainspektionens definition av ansiktsigenkänning:
https://www.datainspektionen.se/vagledningar/kamerabevakning/ansiktsigenkanning-och-dataskydd/


27 juni, 2020

Show Notes för #82 – Den nya ”månlandningen”

Detta måste vara en helt ny konspirationsteori. Jag vet om dårar som tror att USA aldrig åkte till månen 1969, men att det var Kina som gjorde det… Den var ny.

Avsnittet heter 82 – Den nya ”månlandningen”
Det spelades in 2020-06-26 och lades ut 2020-06-28.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

För några veckor sedan var det det förflutnas lärdomar som gällde när vi pratade om ”utdöda säkerhetsteknologier”, men denna gång är det framtiden som den kan tänkas se ut i och med att Kina slänger sin hatt i ringen. AI, Kvantdatorer, Block chain och IoT.

Månlandning är ju en jämförelse som förpliktigar, eller hur? Men är det vad vi pratar om? USA spenderade enorma pengar på projektet att landa på månen. Komikern Tom Lehrer uttryckte det sähär på sitt karaktäristiska giftiga sätt:

”And what is it that put America in the forefront of the nuclear nations? And what is it that will make it possible to spend twenty billion dollars of your money to put some clown on the moon? Well, it was good old American know how, that’s what, as provided by good old Americans like Dr. Wernher von Braun!”

Må så vara, men projektet lyckades, med liten marginal framför Sovjet. Därefter tacklade Amerikanarna av många år framöver. Men den som uppnår målet att hitta på en revolutionerande ny typ av AI eller kvantdator kommer ha mycket att vinna… För ett tag… Jag kommenterar på att det är en tillfällig seger, eftersom historien visar att andra länder snabbt kommer i kapp, ofta med hjälp av agenter och industrispionage.

Men fem till tio år av att vara marknadsledande kan räcka för att hålla täten eller till och med skifta världens centrum. Jag förutspådde att Kina inom tjugo år skulle kunna ta över ledarrollen från USA. Ett kanske lite kontroversiellt uttalande, men det är en distinkt risk/möjlighet beroende på hur du ser på saken. Kanske är den ”gamla världen”, hur man nu definierar den, i samma tillstånd som det Västromerska imperiet under 400-talet. Spekulativt kanske, men inte omöjligt.

Jag var nog lite väl optimistisk när jag sa att Sovjet var några veckor från att slå Amerikanarna med en bemannad expedition till månen, men det var, precis som jag sa en allvarlig explosion som satte ”p” för den möjlighet de hade:
https://www.youtube.com/watch?v=U9fkYIrRwbo

Faktum är att det var flera explosioner, varav en med många dödsoffer som till sist gjorde det omöjligt att hinna i tid. Och raketerna var inte ens adekvata för uppdraget. Men det är uppenbart att de hade en högst reell chans att slå Amerikanarna i kapplöpningen, vilket USA var väl medvetna om.

Winston Rowntree har en filosofisk, rätt elak och humoristisk version av det hela med månlandningen:
http://www.viruscomix.com/page545.html

En bra genomgång av det hela visar på alla problem som fanns:
https://www.forbes.com/sites/startswithabang/2019/07/11/this-is-why-the-soviet-union-lost-the-space-race-to-the-usa/#43df65c84192

Men tillbaka till nu och framtiden:

IDG rapporterar:
https://computersweden.idg.se/2.2683/1.735175/tencent-investera-ai-molnet?queryText=kina

13 juni, 2020

Show Notes för #80 – Säkerhet kring utdöd teknik

Kan inte säga emot här. Detta fungerar definitivt. Det är möjligen ett gordiskt hugg, men varför inte? Förresten, vad är ”pishing”, låter inte så trevligt?

Avsnittet heter 80 – Säkerhet kring utdöd teknik
Det spelades in 2020-06-12 och lades ut 2020-06-14.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.

Vi har ju redan pratat om saker som WEP –  Wired Equivalent Privacy och varför detta inte fungerade. Men denna gång samlar vi upp säkerhetstekniker som vi behövt ge upp och försöker förstå anledningen till att detta hände i lite mer detalj. Eller för att sammanfatta…

Varför dör säkerhetsteknologier?

  • För att de blir för gamla och moderna attackmetoder med bättre hårdvara till sist knäcker dem.
  • För att de är gjorda av någon som inte kan säkerhet.
  • För att oåterkalleliga problem hittas med dem efter en tid.

Själv idén till det hela fick jag när jag deltog i en diskussion på nätet om idiotiska tekniska lösningar som vi tack och lov inte längre behövde stå ut med. Det var allt från WAP till något protokoll för att skicka webbsidor via SMS-meddelanden. Och jag fick då lite inspiration och tyckte att vi borde ha en motsvarighet inom IT-säkerhetsområdet… Detta blev upptakten till detta avsnitt.

Så vilka är exemplen vi tar upp i detta avsnitt?

PHPs ”Magic quotes”

Läs under Criticism-delen av artikeln, så ser ni hur illa lösningen fungerade:
https://en.wikipedia.org/wiki/Magic_quotes

Den togs bort i version 5.4 av PHP, vilket jag inte var säker på om det hade skett, men det har det alltså.. Good riddance…

Microsofts kryptering av PST-filer

Det är ju lite svettig läsning när Microsoft säger att PST-filerna enbart är menade att skyddas på ”UI-nivå”, alltså direkt från Outlook:
https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-pst/48468b1e-cc81-4e2b-82a7-9bf61adc948e

De rekommenderar istället att du använder EFS, alltså krypteringsfunktionen i Windows för att skydda dem. Antar att det enklaste på en klient faktiskt ändå är Bitlocker eller Bitlocker to go.

XSS-filter i webbläsare

Faktum är att XSS-skydden lever farligt nu när allt fler webbläsare tar bort funktionerna:
https://www.packetlabs.net/browsers-dropping-xss-protection/

PPTP – Point-to-Point Tunneling Protocol

Spännande test där man använde Marlinspikes crackertjänst för att knäcka PPTP. Det fungerade precis som det skulle även om de upplevde tjänsten som lite omogen och strulig.
http://www.h-online.com/security/features/A-death-blow-for-PPTP-1716768.html

Det verkar som om denna tjänst är nedlagd idag. Jag hittar den inte i alla fall. Men verktyget finns givetvis kvar:
https://github.com/h1kari/chapcrack

WEP –  Wired Equivalent Privacy

Min morfar köpte en skivspelare av märket ”Braun”. Denna hade vunnit flera priser och min mamma undrade varför han alltid satt och försökte reparera den. Hennes fråga var ”Vad är fel med den?”. Svaret blev ”Det är inte det att det är något fel med den, utan det är snarare att ingenting är rätt med den”. Min morfar dog 1994 och behövde aldrig uppleva WEP, men jag tror citatet är högst relevant ändå…

Vad är fel med WEP? (Allting?):
http://www.opus1.com/www/whitepapers/whatswrongwithwep.pdf

Länkar

Intressant artikel om hur Linux hanterar lösenord
https://www.slashroot.in/how-are-passwords-stored-linux-understanding-hashing-shadow-utils

Scroll to top