ShowNotes

19 september, 2021

#134 – Hur blir IT-arkitekturen säker?

Skillnaden mellan att bara slänga upp servrar och nätverksutrustning i en liten miljö och att bygga ett helt nätverk för ett enormt militärt projekt är kravet på engagemang av IT-arkitekten. En avsaknad av planering har lett många projekt till katastrof och ett för tidiga avslut. Mattias är en erfaren IT-arkitekt och Erik har sett ett antal projekt krascha och brinna och de är båda överens om hur viktigt det är med någon som håller i tyglarna när konsulter löper amok och ingen riktigt vill fundera på vem som ska använda systemet när det är klart. Från Stockholms stads IT-plattform till projektet som redan köpt all utrustning innan arktitekten togs in. Historierna från skyttegraven roar och oroar.

12 september, 2021

#133 – MAC-attack med David Jacoby

Fredagen den 10 september spred David nyheten om denna ”nya” attack, där en attackare kan få tag i en användares lösenord, på det stora konventet SEC-T och nu är vi bland de första att komma ut med detta som podcast. Erik och David diskuterar också varför MAC-ägare kanske ska sluta skratta åt Windows-användare och sen introducerar David oss för ett nytt begrepp: ”Lokal phishing”.

5 september, 2021

#132 – SD-toppen som trodde han var anonym

Anonymitet är effekten av att ingen vet vem det är som gjort något eller står bakom något. Det är tryggheten att skriva sina innersta tankar på Internet och aldrig behöva svara inför dem. Vi tror att vi förstår när vi är anonyma, eftersom det varit rätt enkelt att förstå innan Internet. Men med Internet, kastas allting över ända och resurserna som krävs för att vara anonyma är idag omöjliga att frambringa för en vanlig användare.

29 augusti, 2021

#131 – Grey hat hackers

Dags att diskutera etiken inom hackingen och skilja mellan grey hat, black hat och white hat.

22 augusti, 2021

#130 – Gigekonomi och säkerhet

Ämnet är gigekonomin och det är ju det nya heta. Alltså att man tar korta påhugg och använder en ”mäklare” för att skaffa jobb. Det kan vara att leverera varor, mat eller att hjälpa någon att flytta. Mäklarna är en kopplingspunkt mellan arbetstagaren och de som vill få jobb utfört.

18 juli, 2021

#129 – GTCC, möt 18 skarpa IT-hjärnor i september

Kent Illemann framför micken i detta specialavsnitt av IT-säkerhetspodden.

Avsnittet: 129 – GTCC, möt 18 skarpa IT-hjärnor i september
Inspelat: 2021-07-07 (publicerat 2021-07-18)
Deltagare:  Kent Illemann, Ulf Berglund, Erik Zalitis och Ina Nordqvist
Detta avsnitt är ett samarbete med SIG Security.

Lyssna på avsnittet

Medan du lyssnar

Va, är vår semester redan slut? Nix, men vi har ändå tid att ge er nyheten om Nordens nya IT-säkerhetskonfens: GTC. I samarbete med SIG Security tar vi nu alltså pulsen på de 18 säkerhetsexperter som kommer berätta om vad som händer i IT-säkerhet- och InfoSec-området just nu.

Ulf Berglund och Inga Nordqvist sedda från min plats vid bordet.

Kent, Ulf och Ina samlades hemma hos mig en onsdag eftermiddag där vi hade allt uppkopplat. Man samlades ute på min balkong, medan jag gjorde klart det sista och sedan körde vi igång. Det skulle ha blivit 90 minuter, men istället märkte vi att 45 räckte. Efter att ”saxen” gått i ”bandet”, var vi nere i nästa 37 minuter. Detta är exakt som det ska vara. Det är bara fördelar med att hålla sådana här diskussioner rimligen korta och koncisa. Allt viktigt hann sägas.

Talarna

Jacob Henricson
CISO, Skanska Sverige
http://skanska.com

Erik Blomberg
CISO, Handelsbanken
http://handelsbanken.se

Eva Throne-Holst
Information Security Officer, Nordnet Bank
http://nordnet.se

Sandra Elvin
CISO, Microsoft
http://microsoft.com

Tony Kylberg
CSO, Head of Group Security & Cyber Defence and Third Party Governance, SEB
http://seb.se

Thomas Nilsson
CIO, Försvarsmakten
http://forsvarsmakten.se

Anne-Marie Eklund Löwinder
Säkerhetschef, Internetstiftelsen
http://internetstiftelsen.se

Rebecca Ihrfors
Chef ledningssystem, FMV
http://fmv.se

Brian O’Toole
Head of Digital Services Security Center, Ericsson
http://ericsson.com

Helena Lindberg
Sveriges Riksrevisor, Riksrevisionen
http://riksrevisionen.se

David Jacoby
Senior Security Researcher, Kaspersky
http://kaspersky.com

Marcus Södervall
Head of Security & DPO, Stravito
http://stravito.se

Nicklas Kjellin
CTO, Covr Security AB
http://covrsecurity.com

Viktor Laszlo
Grundare, Devfinity

Daniel Melin
Moln- och datacenterstrateg, Skatteverket
http://www.skatteverket.se

Johan Christenson
Grundare och VD, City Network
https://citynetwork.se/om-foretaget/

Magnus Bergström
It-säkerhetsspecialist
http://imy.se

Anna Rehnström
VP Infrastructure & Platform Services, Basefarm
http://basefarm.com

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
20 juni, 2021

#128 – Trickbots moder

Kanske inte den bästa bilden att använda på Tinder.

Avsnittet: 128 – Trickbots moder
Inspelat: 2021-06-20 (publicerat 2021-06-20)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Den här historien börjar för mig i ett mail från min far. Vår släkt har rötter i Lettland på min fars sida och han har skickat detta mail där han skriver ”En Lettisk kvinna som tydligen gjort ett livsfarligt virus. Får troligen fängelse”. Jag blir intresserad och pratar med Mattias som börjar göra research om henne. Som vanligt är uppgifterna knapphändiga, men vi kommer rätt snabbt fram till att hon är intressant som person och som hackare.

Kanske var hon besviken på att hon inte fick bli programmerare och valde då den ”mörka sidan”. Hennes kommentarer tyder på det. Eller kanske var hennes entreprenörsanda och ”nu kör vi”-mentalitet det som gjorde att hon hoppade på något nytt utan att tänka för mycket på eventuella konsekvenser.

Jag kan inte låta bli att tänka på Ingegerd Engfelt och hennes vilda planer om att utmana de Japanska kassettjättarna och som slutade med hennes död i en skogsdunge. Det finns allt från att köra utan att tänka på konsekvenserna och en stor dos bitterhet i båda historierna som ser paralleller mellan.

Jag roade mig också att skicka en hälsning till Karl-Emil Nikka och Tess Hamarks utmärkta podd ”Bli säkerpodden”.

Sen får ni ursäkta att jag gör lite reklam för Flashback, tracks from the past som spelar trackermusik och pratar retrodatorer på Engelska.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
6 juni, 2021

#127 – Citaten som avslöjar säkerheten

Om detta är ditt korskopplingsrum, tänker jag komma dit med en häcksax.

Avsnittet: 127 – Citaten som avslöjar säkerheten
Inspelat: 2021-06-04 (publicerat 2021-06-06)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Moderna tider kräver moderna lösningar. Det finns metoder, best-practises och lösningar som kan stå emot hackare tillräckligt bra för att man ska kunna våga koppla upp sina system på nätet.

Men ändå ser man samma trötta gamla system- och säkerhetsfilosofier när man kommer ut till kunden för att testa deras säkerhet, pentesta dem eller analysera deras säkerhetsstatus.

I dagens avsnitt av IT-säkerhetspodden är det Mattias Jadesköld och Erik Zalitis som med hjälp av några citat som ligger till grund för märkliga säkerhetsproblemen som borde vara lösta, men som inte är det.

PunktProblem
1”Alltså, den här testmiljön är exakt som produktion, fast vi lägger inte in några patchar, eller använder modern utrustning och lösenorden är samma för alla konton”
2”Switchen? Ja, vi konfar den via det där terminalprogrammet. Vadå osäkert?”
3”Alltså, vår webb är säker. Den styr om alla att använda HTTPS så det blir krypterat”
4”Alltså, lugn nu, ingen vet att order-funktionen finns där! Det är ju bara javascripten som pratar med den.”
5”Vadå, ska du verkligen göra 1000 anrop mot webben. Det pallar den inte!!!”
6”Vem har kopplat in den där?”
7”Det är någon annans problem”
8”Lösenordet? Jag har det på mailen…”
9”Urgamla tjänster”
10”Brandvägg på klienterna? Varför det?”
11”Vi måste nå alla servrar”
12”Nej, konfigurationsfilerna har Windows standardrättigheter, men de är ju krypterade, så det gör inget”
13”Vi vet ju om det där redan – bra att du hittade det”.
14”Jaha.. Du skrev om det redan i förra rapporten. Nej, jag vet inte varför det inte är fixat. Hur så?”

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
30 maj, 2021

#126 – Vad händer efter en cyberattack?

Avsnittet126 – Vad händer efter en cyberattack?
Inspelat: 2021-05-28 (publicerat 2021-05-30)
Deltagare: Mattias Jadesköld och Erik Zalitis

Lyssna på avsnittet

Medan du lyssnar

Kan en organisation som blivit hackad överleva? Svaret från de senaste 20 åren är uppenbart: JA! De kan till och med klara sig bättre och vinna i popularitet. Men det finns några saker som verkar krävas:

  • Att regelbundet kommunicera klart, ärligt och öppet.
  • Visa att man tar situationen på allvar och har en plan för att det inte ska hända igen

Men innan man blivit hackad, då? Vi pratar inte om hur man hanterar den framtida attacken, utan hur man hanterar arbetet efter att dammet lagt sig. Och det är:

  • Ha en plan för hur man ska kommunicera med allmänheten, pressen, myndigheterna och andra intressenter och partners.
  • Se till att ha en enad front inför allmänheten. Ingen personal får uttala sig direkt, utan allt kanaliseras genom utpekade representanter.

En sak vi inte riktigt vet är vad som händer om man blir hackad, går ut och säger att allt är grönt och sedan direkt efteråt blir hackad igen. Det känns rent spontant som en situation utan någon form av lyckligt slut.

… och så Klarna. När vi spelade in avsnittet (fredagen den 28 maj) var inte många uppgifter kända, så vi är av naturnödvändighet ganska sparsamma med dem. När fler detaljer dyker upp kommer vi att samla information. I framtiden, när vi har perspektiv på situationen, kommer vi kunna göra en episod om vad som hände och vad vi lärt oss.

Vi visste redan då att Klarna troligen inte blivit hackade och att det rimligen av självförvållat. Men effekten är ändå snarlik då kundernas information exponeras.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
23 maj, 2021

#125 – Öppna skolplattformen

Så här ser alltså hotet mot Stockholms stads oälskade app ut. Eller är det så? Kanske finns det möjligheter för samarbete mellan parterna. Det är ett lika intressant psykologiskt som tekniskt drama som pågår just nu.

Avsnittet125 – Öppna skolplattformen
Inspelat: 2021-05-14 (publicerat 2021-05-23)
Deltagare: Mattias Jadesköld, Erik Zalitis och Christian Landgren.

Lyssna på avsnittet

Medan du lyssnar

IT-säkerhet, precis som IT i stort, är ofta ett psykologiskt, precis som tekniskt problem och vi talade ju i förra veckan om cyberpsykologi. Men en sak är säker med detta bråk: det var irritation men även en ”can do”-mentalitet som drev fram ”Öppna skolplattformen” som ett svar på den officiella appen från Stockholm Stad. Och det var ovilja till förändring som drev på stadens svar med hot om stämning och försök att sabotera denna uppstickare. Men Christian poängterar att inget av det som de gjort är olagligt. Informationen kontrolleras fortfarande och tillhandahålls av staden. Det är ju bara ett nytt ”ansikte” mot användaren.

I mitt stilla sinne undrar jag vad som händer när Christian och hans medarbetare funderar på att lägga till funktioner i appen. Är detta lämpligt? Kan det misstolkas som att den delen av appen då kommer att vara officiell från Stockholm stad, vilket den inte är. Sådana här saker är känsliga och båda sidor gör bäst i att gå försiktigt fram.

Om det uppdagas ett säkerhetshål i appen som inte beror på Stockholms stad, vem kommer få skulden för det. Både staden och Öppna Skolplattformen kan anses sannolika att fixa de sårbarheter som uppstår. Men förlusten av kontroll för stadens del är nog ganska obehaglig för dem. Detta är lite som när producenter av serier, TV-program och filmer ser hur deras fans skapar egna berättelser med deras karaktärer. Likaledes obehagligt som det är lockande.

Dock är det ganska klart att den öppna skolplattformen är en rejält förbättring gentemot den officiella. Mattias visade mig båda och det är som natt och dag. Den officiella är rörig, funktioner är ologiska och den som inte är haj på datorer och Internet har ingen rolig upplevelse med den.

Öppna skolplattformen kostar idag 12 kronor att köpa och nya funktioner införs kontinuerligt.

Vad det gäller säkerhetsproblemen, beskrivs de två största rätt bra i avsnittet, så jag lämnar den diskussionen därhän. Men det är ändå märkligt hur dessa fel, som är så uppenbara, missats. Tror de behöver ser över sitt säkerhetsarbete i form av pentester, kodgraskning och arkitekturgenomgång.

Vi lever i intressanta tider där ”medborgaraktivism” kan uttryckas såhär konstruktivt, men ändå ha kraften att starkt ifrågasätta myndigheternas monopol på viss typ av verksamhet. Det finns både starka möjligheter men som jag skrev ovan en hel del farhågor.

Sen över till Stockholm stads konsulthaveri. Varför styr de sina konsulter så illa? När man har saker ”in house” och sedan lejer ut dem, blir den kvarvarande it-avdelningen en beställarorganisation. Och en inköpschef/beställare/administratör/it-chef måste ha hårda nypor och ställa krav. Gör man inte det, skriver alla konsulter åtta timmar varje dag oavsett hur mycket i verkligheten jobbat. Timmarna rusar iväg. Detta är extremt svårt att hålla koll på, men styrs av en falsk förhoppning att ta in konsulter bara kräver att man trycker på en knapp.

Den som lyssnat på mina utläggningar om denna magiska knapp, vet hur lite jag tror på dess funktion och det där ”magiska”. Det är tyvärr något som alla som startar ett projekt måste förstå, tycker jag. Och Game of Thrones, som jag felaktigt kallar Games of Thrones i inledningen, har nog varit mer värt pengarna än detta system.

Länkar

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
Scroll to top