Show Notes för #103 – GDPR 2.0 med Agnes
Avsnittet: #103 – GDPR 2.0 med Agnes
Inspelat: 2020-11-27 (publicerat 2020-12-06)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.
ShowNotes
Show Notes för #102 – Schrems II med Agnes
Avsnittet: #102 – Schrems II med Agnes
Inspelat: 2020-11-27 (publicerats 2020-11-29)
Deltagare: Erik Zalitis, Mattias Jadesköld och Agnes Hammarstrand.
Schrems 2-domen sänder svallvågor över hela Europa. Men Agnes kan ge sakliga besked om vad det faktiskt innebär i verkligheten. Upplysande och även lugnande. Men detta innebär inte att det bara är att slappna av och fortsätta som om ingenting hänt.
I samarbete med SIG Security dessutom.
Länkar
SIG Security:
https://www.sigsecurity.org/gdpr-privacy-shield-schrems-ii-nytt-poddavsnitt/
Biometrisk teknik på framfart
Avsnittet: #101 – Biometri med Fingerprints
Inspelat: 2020-11-20 (publicerats 2020-11-22)
Deltagare: Erik Zalitis, Mattias Jadesköld och Christian Fredriksson (VD, Fingerprints)
Svenska Fingerprints leder det globala utvecklingsarbetet gällande biometrisk teknik. Christian Fredriksson drivs av att kunna erbjuda säkrare lösningar som dessutom är enklare att använda för alla. Han har bakgrund i både Nokia och F-Secure.
Hur fungerar betalning med biometri?
När vi betalar idag använder vi ju pinkod, vilket inte är någon nyhet. Dessutom kan vi göra helt kontaktlösa betalningar under 500 kronor vilket betyder att om någon kommer över kortet kan obehörig göra betningar upp till 500 kronor med kortet utan pinkod.
Det kortet som Fingerprints har utvecklat, och som rullas ut i Frankrike och Schweiz, har en sensor för att registrera användarens fingeravtryck. Vid en betalning lägger kunden helt enkelt fingret över sensorn och blippar mot terminalen. Ingen kod. Ingen kontakt.
Biometri påskyndat av pandemin
Christian berättar också att pandemin har fått en rejäl skjuts i samband med pandemin där man kräver mer och mer kontaktlösa system. Bland annat beskriver han ett sjukhus i Korea där personal kan låsa upp dörrar till avdelningar med iris. Att just lotten föll på iris som biometrisk källa blev naturligt. Läkare och sjuksköterskor bär ju munskydd och handskar vilket gör det svårt med fingeravtryck och ansiktsigenkänning.
Hur sparas mitt fingeravtryck?
Informationen om fingeravtrycket sparas endast i kortet och bygger på en algoritm att känna igen ditt finger (eller fler fingrar om du registrerar fler), och vartefter du åldras och blir rynkigare, följer kortet med och lär dina nya drag. På så vis kommer betalningen även fungera under en lång tid.
Eftersom informationen sparas krypterat i kortet skickas det alltså inte till något moln eller så och det går inte att få ut informationen om kortet kommer i orätta händer, så att säga.
Hollywood-myter
Vi har sett det i spionfilmer hur skurkar skär av finger (eller ögat) för att göra en inläsning och öppna den hemliga dörren. Funkar det?
Nej, inte alls. Sensorn i kortet har algoritm för att se att fingret ”lever” så förhoppningsvis ska alla få behålla sina fingrar i framtiden med dessa kort.
Betala i butiker i all ära men hur gör man på webben?
En betalning via en webbplats skulle fungera på samma vis med att nyttja sitt fingeravtryck istället för de där tre siffrorna som finns på kortets baksida (CVV eller CVC).
Vi ser alltså enklare betalningsmetoder framför oss som är mer säkra. Ljus framtid alltså! Det ska bli en riktigt spännande utveckling att följa där biometrisk teknik är på frammarsch.
Show Notes för #100 – Säkerheten i HP SureClick
Avsnittet heter #100 – Säkerheten i HP SureClick
Det spelades in 2020-10-25 och lades ut 2020-11-15.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.
Vi är ju normalt inte en ”videopodd”, så detta har varit en utmaning för oss. Jag har jobbat med ljudet och Mattias med bilden. Så här vårt första videoavsnitt där vi båda deltar. Vi kan inte lagra stora filer på Libsyn där vi skickar ut våra poddar, så avsnittet med video finns på YouTube och det med ljud finns där poddar finns (eller på denna sida).
HPs dator har ett antal säkerhetsfunktioner och vi har valt att gå igenom dem en och en för att se vad de klarar och var de inte räcker hela vägen.
Så till HP SureClick. Det lovar att den kan göra att din webbläsarsession körs i ett säkert läge, eller en ”detonationskammare” som jag kallar det. Effekten av en attack är att webbläsaren inte öppnar en väg in till resten av datorn, vilket annars kan leda till att ransomware får fotfäste, kryptobrytare får köra eller datorn kan tas över. När du stänger webbläsaren, raderas allt i den, vilket också avbryter all körande skadlig kod. Men allt du gör i webbläsaren i sig är inte säkert om någon tar över den och det du håller på med. Vilket kan vara banktransaktioner eller sessioner mot andra servrar eller ditt tillgång till ditt Facebook-konto.
Dessutom fungerar SureClick enbart med den inbyggda säkra webbläsaren som är en Chromium-klon vilken HP själva uppdaterar… ibland… Den äldre versionen av HP Sureclick lovade uppdateringar varje halvår. Detta är sällan och mycket oroande. När vi började testa, kunder Mattias konstatera att versionen av Chromium som du måste använda var 10 versioner efter den senaste som släppts. Chromium är ju också vad ”Google Chrome” är byggt på och den webbläsaren är troligen den mest eftertraktade att hacka för cyberbrottslingar.
Mitt under testet kom en ny version som lovar fler uppdateringar, men också tar bort stödet för alla andra webbläsare än den säkra.
Rutan ovan finns i tillägget som är installerat i riktiga Google Chrome, som du kanske laddar ner och installerar på datorn, och det lovar dig säkerhet… Men det är inte sant, du måste klicka på ”Open new Secure Browser window” för att den säkra webbläsaren ska starta. Direkt vilseledande och garanterat att få folk att tro att de är säkra när så inte är fallet. Katastrofalt dåligt!
Borde man överhuvudtaget tillåta att köra saker utanför denna SureClick-funktion? Jag påpekar i avsnittet dumheten med ett säkerhetsskydd som man slår av och på hela tiden beroende på vad man gör.
Mattias valde att ställa upp SureClick mot det 15 vanligaste säkerhetshoten just nu. Vi går igenom dem steg för steg och snackar om de som är relevanta för diskussionen. Det är värt att notera, som jag skrev i början, att SureClick bara är EN av många funktioner som skyddar maskinen. Vi kommer givetvis ställa upp de andra säkerhetsfunktionerna mot hoten. Så i sin helhet kan datorn hantera fler hot än vad SureClick i sig själv klarar av. Men denna lök ska ju skalas, så det är vad vi gör i detta avsnitt.
Show Notes för #99 – Hur blir man hackad med David Jacoby
Jag startade Rodecastern några minuter i fyra söndagen den 1 november 2020 efter att ha fått kontakt med David som sprang runt i sitt hus med sitt headset på. Vi kom att prata i 90 minuter, men någonstans måste man ju dra en gräns, så avsnittet är knappt 60 minuter. Bland det bortklippta i detta videosamtal finns när jag fick se Davids alla Amigor, C64or och Ataris som fanns i källaren. Han har också ett antal BBS:er som man kan ”ringa” till via telnet också.. Otroligt häftigt.
Show Notes för #98 –Antiviruskungen som blev mordanklagad
Avsnittet heter #98 – Antiviruskungen som blev mordanklagad
Det spelades in 2020-10-24 och lades ut 2020-11-01.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.
Vid 22:51 pratar vi om SEC (U.S. Securities and Exchange Commission) som mycket riktigt utreder ekonomisk brottslighet. De har dock mycket mer strängar på sin lyra, men det är inte riktigt relevant för denna diskussion.
Vi hamnar också i en diskussion om libertianer och piratpartiet där det gäller att hålla tungan rätt i mun för att vara saklig. Så är det alltid när man kommer in på ämnet politik oavsett vad man pratar om. IT-säkerhetspodden blir inte politiska och vi tar inte ställning.
Vi pratade faktiskt med Piratpartiets Katarina Stensson förra året om deras syn på bland annat IT-säkerhet. Den intervjun finns givetvis att lyssna på.
Errata
- Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.
Länkar
Och, givetvis, här är videon för er som inte ännu har slutat tro era ögon…
Show Notes för #97 – Hacktivismens historia
Avsnittet heter #97 – Hacktivismens historia
Det spelades in 2020-10-24 och lades ut 2020-10-25.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.
Sent ska syndaren vakna… Det är onsdag idag när jag skriver show notes för detta avsnitt. Men nu så… Det har varit en pressad vecka med crunch time, intervjuer att planera, ett heltidsjobb och dessutom en YouTube-video där vi pratar HPs lösning SureClick. Så till ämnet…
Det är svårt att hålla sig från politiken när man pratar hacktivism, men vi gör vad vi kan för att ge er historierna, faktat och analyserna. Jag brukar ofta säga att den typiska hackaren gör sitt jobb för pengar. Och så är det. Men idag talar vi om hackaren/hackarna som har ett högre och mer ädlare syfte. I alla fall ser de själva vad de gör på detta skäl. Så de hackar för att avslöja ogentligheter, berätta hemligheter som makthavare inte vill att du ska veta och stoppa de som gör dåliga saker i denna värld.
För att ta det väldigt enkelt:
Bra med hacktivism:
- Avslöjar saker som annars kanske aldrig skulle komma fram.
- Driver opinion mot oärliga organisationer.
- Fungerar som ett komplement till vanlig journalism.
- Minskar skillnaden mellan de med makt och de utan.
Dåligt med hacktivism:
- Aktivisterna kan bestämma målet utifrån sin egen värdegrund snarare än viljan att upplysa världen.
- Du får aldrig veta vilka de är, vilket döljer deras egen koppling till situationen. Du vet heller inte om de tillhör en annan gruppering med en agenda.
- Ingen möjlighet att ”överklaga” eller begära ut hur de gjort sin undersökning och sina attacker. Bevis måste ofta accepteras i befintligt skick utan att kunna veta om det förfalskats på vägen.
- Godtycke är sannolikt att uppstå.
Det finns givetvis mycket mer att anföra här, men vi håller det schematiskt för att göra det lätt att sätta sig in i. Den som är intresserad, kan följa länkarna nedan för mer information.
Errata
- Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.
Länkar
Den där masken Anon använder, föreställer Guy Fawkes, en person som fanns på riktigt. Och som ville spränga Brittiska parlamentet:
https://sv.wikipedia.org/wiki/Guy_Fawkes
Anonymous vs Mexikanska maffian (Los Zetas)
https://smallwarsjournal.com/jrnl/art/anonymous-vs-los-zetas-the-revenge-of-the-hacktivists
Vad är en hacktivist?
https://www.uscybersecurity.net/hacktivist/
LulzSec
https://en.wikipedia.org/wiki/LulzSec
Dog anonymous i samband med Hector Xavier Monsegurs gripande?
https://www.wired.co.uk/article/anonymous-sabu
Hacktivism idag (Twitters statistik)
https://securityboulevard.com/2020/06/analysis-of-the-top10-hacktivist-operations/
Show Notes för #96 – Hillary Clintons epostserver
Avsnittet heter #96 – Hillary Clintons epostserver
Det spelades in 2020-10-16 och lades ut 2020-10-18.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.
Man skulle kunna säga att de Amerikanska presidentvalen 2008 och 2016 är de första där hackare började kunna påverka dem på riktigt. Det är många berättelser vid det här laget, men denna gång handlar det om Hillary Clintons epostserver och hur denna kom att påverka hennes förtroende negativt.
Avsnittet beskriver händelseförloppet bra, så jag tänker inte nämna det här, utan använder istället detta utrymme för att förtydliga saker.
Vid 23:48 tar jag en kort utvikning om epostskandalen 2016, där epost från Demokraternas valkampanj läckte ut. Detta visar på att det inte enbart är Hillarys server som varit ett problem.
Att redigera inslaget blev stökigare än vad jag väntat och jag satt in på småtimmarna och försökte få ihop alla delarna med utvikningar så att de hängde ihop. Men till sist fungerade det som det skulle.
Errata
- En första version av detta avsnitt hade en del problem med hur det redigerats. En korrigerad version lades ut runt 11:10 söndagen den 18 oktober.
Länkar
Hillarys epostserver:
https://en.wikipedia.org/wiki/Hillary_Clinton_email_controversy
DNC-läckan 2016:
https://en.wikipedia.org/wiki/2016_Democratic_National_Committee_email_leak
Vem är Guccifer?:
https://en.wikipedia.org/wiki/Guccifer
Show Notes för #95 – e-signering med Conny Balazs
Avsnittet heter #95 – e-signering med Conny Balazs
Det spelades in 2020-10-05 och lades ut 2020-10-11.
Deltagare: Erik Zalitis och Conny Balazs
Show notes skrivna av Erik Zalitis.
Denna resa blev kort. SEBankens kontor råkar ligga 10-12 minuters gångväg från där jag bor, så det var bara att slänga bagen med ljudprylarna över axeln och knata över. Conny mötte mig i receptionen och inspelningen blev kort och effektiv. Allt var gjort på under en timme eller så.
För mig är den första tanken som kommer upp när jag tänker på e-id alltid mobilt bankid. Det är dock viktigt att inse att det bara är en tjänst som använder e-id. Dessutom bör man tänka på att det är flera funktioner som samsas i den. Vad jag också Conny pratar om är mer själva funktionen än just mobilt bankid. Och det är en helt ny värld för många. En som lovar stora saker som säkrare signaturer och möjligheten att inte behöva mötas för att kunna göra affärer.
Men givetvis finns det mörka sidor som problem när tjänsten inte fungerar, risken för att bli lurad av oseriösa aktörer som ringer dig och försöker få dig att signera saker, problem med att tjänsterna är olika över hela Europa trots eIDAS och att det är ont om reservplaner när man inte kan använda dem.
Tankar:
- Lite märkligt, men det stora hotet mot mobilt bankid idag är gamla hederliga bedragare snarare än sofistikerade tekniska attacker. Men det kanske inte är så konstigt ändå. Social engineering är troligen den mest kraftfulla attacktypen som finns. Det har vi pratat om förut.
- Den dagen kvantdatorer blir tillgängliga är nog nästan all kryptografi i farozonen. Men det är osannolikt att hända under de kommande 10-20 åren.
- Det finns verkligen inget bra svar på frågan om alternativa lösningar till e-tjänsterna vi förlitar oss på om de krånglar. Jag föreslår sedlar i plånboken samt en del pengar hemma för att kunna hantera avbrott. Preppern har talat!
Errata
- Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.
Länkar
Sebanken:
https://seb.se/
Betrodda tjänster enligt eIDAS:
https://www.pts.se/sv/bransch/internet/betrodda-tjanster-eidas/
Show Notes för #94 – Precis som 1984
Avsnittet heter #94 – precis som 1984
Det spelades in 2020-10-02 och lades ut 2020-10-04.
Deltagare: Mattias Jadesköld och Erik Zalitis
Show notes skrivna av Erik Zalitis.
”Who controls the past controls the future. Who controls the present controls the past.”
George Orwell, 1984
För de av er som känner oss, är det lätt att tro att det var jag som kom på idén till detta avsnitt, men så var det inte. Efter att jag irriterat mig över alla som snackar vitt och brett om att ”det är 1984 nu”, tyckte Mattias att vi borde snacka om det. Och så blev det. Jag har läst boken flera gånger och nu har Mattias gjort det också. Så vi har kollen, även om jag inte minns alla ministerier som finns i Air strip 1. Här är de, för den som annars skulle vilja klaga:
- Ministry of love
- Ministry of peace
- Ministry of plenty
- Ministry of truth
Se ”Errata” för en korrigering.
Sen kanske jag bör nämna de slogans som Oceanien har:
- War is peace.
- Freedom is slavery.
- Ignorance is strength
Jag tänker inte skriva så mycket om handlingen, eftersom vi gör det i avsnittet.
Ord har makt!
Komikern George Carlin nämner hur språket ofta förändras för att ”desarmera” ord och gör dem ”säkrare”. Det är definitivt inte bara USA som gör det, eller ens uppfann det.
Och nu då?
Så kopplar vi ihop boken med nuet och kommer med följande tankar:
- Oceanien bygger sin kontroll mer på att bara ge folk EN hårt styrd källa av information än att manipulera dem att välja en väg bland många. Givetvis kan detta i sig ses som en form av manipulation. Men jag nämner detta för att slå fast att det vi tänker på som manipulation i dagens samhälle är till för att styra oss i en värld av mängder av åsikter, källor och fakta. Oceanien har, kan vi säga, ”strömlinjeformat” utbudet.
- Denna monopolistiska kontroll har ingen motsvarighet i det Svenska samhället eller västvärlden. Här har vi istället en bredvuxen flora av åsikter, fakta och information där vi måste vara den som värderar den. Och detta är en av mina viktigaste motargument mot att ”det är 1984 nu”.
- Jag säger att nu för tiden är det många som tittar men få som gör något. Vi talar fortfarande om västvärlden och främst Sverige. I andra delar av världen är det en helt annan sak och vi nämner Kina lite snabbt. Det är inte så att jag säger att avlyssningen är ofarlig eller oproblematisk. Faktum är att både jag och Mattias håller oss borta från den diskussionen, då det inte är ämnet för dagen överhuvudtaget. Vår respektive syn på frågan om integritet blir väldigt klar i avsnittet om polisens hemliga dataavläsning.
Men givetvis finns det en hel del analogier med 1984 som är ganska bra:
- Att betydelsen av ord och vilka ord som anses var acceptabla förändras och en del ord måste väljas bort för att inte skapa ilska, är något som kan liknas vid nyspråk om än bara ytligt. Vi pratar också om hur nyspråket troligen aldrig skulle kunna fungera i verkligheten. Människor är fantastiska på att ge ord andra betydelser och krypa under reglerna. <ironi>INGSOC är dubbel-plus-bra</ironi>.
- Det finns dock en annan vinkling på det och det efter några generationer av nyspråk, med sitt torftiga ordförråd, kommer folk ha svårare att uttrycka sig. Orwell tror det blir slutet för den fria viljan medan jag tror det blir början på ett riktigt coolt och givetvis olagligt slangspråk.
Errata
- 11:38 – Erik påstår att miniluv (Ministry of love) är krigministeriet, vilket är inkorrekt. Det är Ministry of Peace som avses.
- 12:28 – Erik nämner slogans för Oceanien, men minns inte alla. Se ovan för en lista.
Senaste kommentarer