#058 Wifi-attacken Kr00k

Konsekvenserna av utpressningsattacken mot IT-tjänsteleverantören Tietoevry har märkts tydligt runt omkring i samhället. Kontantfria verksamheter kunde plötsligt inte ta betalt. Detaljhandelskedjan Granngården fick rent av hålla sina butiker stängda i över tre dagar. Webbplatserna för Rusta och Stadium gick ner och de ligger fortfarande nere sex dagar efter attacken. Värst av alla drabbades Vellinge kommun. Utöver att deras webbplats slogs ut påverkades deras interna system. Under onsdagen blev det känt att till och med deras säkerhetskopior har blivit utpressningskrypterade. I veckans poddavsnitt går jag (Karl Emil Nikka) och Peter Esse igenom vad världen vet om attacken och dess konsekvenser än så länge. Vi pratar också om riskerna med det kontantfria samhället, hur organisationer ska tänka vid val av driftpartner samt vad alla myndigheter med medborgarkontakt måste ha i åtanke på grund av det förändrade säkerhetspolitiska läget. Veckans avsnitt är dessutom poddens femårsjubileum. Det var i januari 2019 som jag och Tess Hamark spelade in första avsnittet, vilket handlade om den onödiga lösenordsbytardagen. Målsättningen var då att släppa kvartslånga veckoavsnitt, men det byttes snabbt ut mot veckoliga halvtimmesavsnitt. Fem år (och 234 avsnitt) senare tackar vår samarbetspartner Bredband2 för sig. Jag är mycket tacksam över tiden som vi producerade podden tillsammans i ett gynnsamt ekonomiskt oberoende samarbete. Jag hade inte förväntat mig att det som började som ett ”experiment” skulle vara i hela fem år. Utan Bredband2:s stora kundskara hade podden aldrig heller fått så stort genomslag och stor spridning bland svenska folket, så stort tack till Bredband2. Med anledning dessa förändringar tar podden ett kort uppehåll under februari. Jag återkommer med mer information. Se fullständiga shownotes på https://go.nikkasystems.com/podd234.

26 Jan 202438min

Många av dagens lösenordshanterare har inbyggt stöd för att generera engångskoderna som behövs vid inloggning på konton som skyddas med tvåfaktorsautentisering. Bitwarden, 1password, Proton Pass och Icloud-nyckelringen är exempel på lösenordshanterare med sådant stöd. Integrerat stöd för att spara tvåfaktorsautentiseringshemligheter och generera engångskoder förenklar inloggningsprocessen. Stödet ersätter dock inte fristående tvåfaktorsautentiseringsappar helt och hållet. Någon app måste ju generera engångskoden som behövs vid inloggning i lösenordshanteraren. I veckans poddavsnitt pratar Peter och Nikka om den bästa lösningen på lösenordshanterarnas ”moment 22”. Nikka tipsar också om en kommande lösning som tar itu med problemet på riktigt. På sikt kommer det nämligen gå att låsa upp lösenordshanterare med passkeys. Tack vare en utökning till den underliggande standarden kommer kompatibla passkeys dessutom att eliminera behovet av att skriva in användarnamn och lösenord vid upplåsning av lösenordshanterarnas lösenordsvalv. Se fullständiga shownotes på https://go.nikkasystems.com/podd233.

19 Jan 202437min

Authy har länge varit en favorit bland tvåfaktorsautentiseringsappar. Authy har låtit användarna synkronisera sina tvåfaktorsautentiseringshemligheter totalsträckskrypterat mellan enheter och mellan olika operativsystem. Appen har dessutom varit både reklamfri och kostnadsfri. Nu meddelar Twilio, företaget som driver Authy, att de framåt sommaren lägger ned stödet för Windows, Mac OS och Linux. De vill i stället satsa helhjärtat på IOS- och Android-versionerna. Lyckligtvis sammanfaller Authys stundande plattformsbegränsning med framväxten av en konkurrent: 2FAS. Den appen har dessutom öppen källkod. I veckans poddavsnitt pratar Peter och Nikka om varför 2FAS kan bli en lämplig ersättare till Authy lagom till Authys sorti från världens skrivbordsoperativsystem. Nikka förklarar också vilka förbättringar som 2FAS behöver göra fram till dess samt vilken begränsning som 2FAS alltid kommer att ha på grund av sättet som appen synkroniserar tvåfaktorsautentiseringshemligheterna. Se fullständiga shownotes på https://go.nikkasystems.com/podd232.

12 Jan 202437min

Ett nytt år är kommet. Det inleds traditionsenligt med ett poddavsnitt om vad som stundar ur ett IT-säkerhets- och integritetsperspektiv. Peter och Nikka sneglar på kalendern och tittar in i spåkulan för att servera fem profetior för IT-säkerhetsåret 2024. Se fullständiga shownotes på https://go.nikkasystems.com/podd231.

5 Jan 202434min

2023 går mot sitt slut. Årets sista poddavsnitt dedikeras traditionsenligt till att följa upp profetiorna som myntades vid årets start. Slog passkeys igenom? Reste sig Firefox ur elden? Blev det problem med push-notiser på IOS? Blev Bing Bra? Skedde det några framsteg över Atlanten? Se fullständiga shownotes på https://go.nikkasystems.com/podd230.

29 Des 202332min

Nu har Meta lanserat sin Twitter-kopia ”Threads” i Europa. Förra veckan tillkännagav Metas grundare Mark Zuckerberg att de dessutom har påbörjat integrationen med Activitypub-nätverket. I sann Meta-anda har de dock gjort det enkelriktat: det går att följa utvalda Threads-profiler från Activitypub-baserade Mastodon, men det finns inga Mastodon-profiler som går att följa från Threads. I veckans poddavsnitt pratar Peter och Nikka om de senaste veckornas nyheter kring X (Twitter) och dess kloner. Podduon ger Threads en avriven guldstjärneudd som beröm för att de åtminstone delvis har anammat Mastodons lösning för profilverifiering. De pratar också om problematiken med falska säkerhetsvarningar på X samt om hur EU-kommissionen utreder om X verkligen lever upp till kraven som Digital Services Act lägger på tjänster av X:s storlek. Se fullständiga shownotes på https://go.nikkasystems.com/podd229.

22 Des 202336min

I början av december avslöjade den amerikanska senatorn Ron Wyden att Apple och Google lämnade ut information om användarnas push-notiser. Detta gjorde de två IT-jättarna utan att informera de berörda användarna. I en kommentar till Reuters meddelade Apple att federala myndigheter hade förbjudit dem att offentliggöra utlämnandet. Sättet som push-notiser skickas gör avlyssningen extra allvarlig. Nästintill alla push-notiser som går till IOS- och Android-mobiler skickas nämligen via Apples respektive Googles molntjänster. Signals VD Meredith Whittaker har förklarat att det är av batteriskäl som operativsystemstillverkarnas molntjänster är de enda framkomliga vägarna för att skicka push-notiser. Signal, Proton och andra tjänster som tar dataskyddet på allvar totalsträckskrypterar innehållet i push-notiserna. Tyvärr är totalsträckskrypteringen inte något som Apple och Google tillhandahåller, vilket gör att IT-jättarna i normalfall kan se exakt vad som står i push-notiserna. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om Ron Wydens avslöjande och vilka konsekvenser som det får, inte bara för push-notiser utan för all data som passerar IT-jättarnas molntjänster. Det blir allt viktigare att Apple och Google skyddar användarnas data på teknisk väg, så att IT-jättarna inte har någon data att lämna ut när de nästa gång åläggs att göra det i hemlighet. Se fullständiga shownotes på https://go.nikkasystems.com/podd228.

15 Des 202335min

Digitalt distribuerade filmer och böcker kopieringsskyddas ofta med någon typ av DRM (Digital Rights Management). Kunder som köper DRM-skyddade filer kan inte dra nytta av sin lagstadgade rätt att privatkopiera dessa (notera ”privatkopiera”, inte ”piratkopiera”). Kunderna kan också fråntas sin möjlighet att spela upp filmerna eller läsa böckerna. Fram till 2021 sålde Sony både filmer och TV-serier via Playstation Store. Nu står det dock klart att kunder som ”köpte” filmer och TV-serier därigenom i själva verket långtidshyrde dessa. Förra veckan meddelade Sony att de hade ändrat i sina licensavtal med innehållsleverantören Discovery och att Sony därför raderar kundernas ”köpta” Discovery-filmer och -serier. En liknande situation drabbade kunderna som hade ”köpt” böcker i bokbutiken som Microsoft drev fram till 2019. Då valde Microsoft att lägga ned bokbutiken och radera kundernas köpta böcker. Till skillnad från Sony valde Microsoft att betala tillbaka pengarna, men situationen belyste ändå problemet: så länge böcker har DRM-skydd kan säljaren frånta köparen möjligheten att läsa boken. I veckans poddavsnitt pratar Peter och Nikka om de mångåriga problemen med DRM i musik, böcker och filmer. Historiskt har Sony nämligen gjort något ännu värre än att bara radera kundernas köpta filmer. Se fullständiga shownotes på https://go.nikkasystems.com/podd227.

8 Des 202336min