#299 Microsoft dödar lösenorden

I våras presenterade Svenska bankföreningen ett omfattande åtgärdspaket för att stärka kundskyddet och motverka digitala bedrägerier. En bankkund ska bland annat kunna sätta beloppsgränser och införa tidsfördröjningar av transaktioner. Bankkunden ska också kunna aktivera en funktion som gör att transaktionerna måste godkännas av en för bankkunden betrodd person. I veckans specialavsnitt av Bli säker-podden gästas podden av Peter Göransson. Han är ansvarig för Svenska bankföreningens säkerhetssamarbete. Han berättar om digitala bedrägerier, bankernas utmaningar inom bedrägeribekämpning och om åtgärderna som bankerna nu vidtar. Se fullständiga shownotes på https://go.nikkasystems.com/podd263.

30 Aug 202434min

När Iphone lanserades fanns det ingen appbutik. Steve Jobs förklarade att utvecklare som ville bygga appar för Iphone skulle göra det i form av webbappar. Ett år senare hade Apple ändrat sig och öppnade App Store som blev en historisk succé. Idag är appinstallation tätt förknippat med operativsystemens inbyggda appbutiker: App Store och Google Play. Både Iphone och Android har dock fortfarande stöd för webbappar. Användare kan ”installera” webbsidor som om de vore appar. Till skillnad från appar som distribueras via de officiella appbutikerna saknar Apple och Google kontroll över webbapparna. Det har öppnat en möjlighet för världens angripare. Säkerhetsföretaget Eset varnar nu för hur bedragare därigenom försöker lura tjeckiska bankkunder att installera falska kopior av officiella bankappar. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om webbappar genom tiderna och om bedrägeriförfarandet som Eset uppmärksammar. Se fullständiga shownotes på https://go.nikkasystems.com/podd262.

23 Aug 202433min

Kanadensiska ”Linus Tech Tips” är en av världens största Youtube-kanaler inom teknik. Kanalen frontas av Linus Sebastian som tillsammans med kollegor testar datorkomponenter och bevakar nyheter från konsumentelektronikbranschen. Det råder inga tvivel om att Linus Tech Tips-gänget är en grupp kompetenta och teknikälskande datornördar. Trots gruppens stora teknikkompetens har kanalen råkat ut för upprepade kontokapningar. Första gången var 2016 då en så kallad sim-swap-attack ledde till att deras Twitter-konto kapades. Andra gången var i fjol då en spionprogramsattack resulterade i att bedragare kunde ta över deras Youtube-kanal och sända reklam för investeringsbedrägerier. Den här veckan var det dags igen. En klassisk nätfiskeattack gav angripare tillgång till Linus Tech Tips X-konto. På mindre än ett decennium har Linus Tech Tips därmed drabbats av tre kontokapningar. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om de olika metoderna som angriparna använde vid respektive tillfälle. Avsnittet handlar dock inte om hur slarviga några enskilda medarbetare har varit, utan avsnittet belyser vad dessa upprepade incidenter indikerar: nätfiskeattacker fungerar. Till och med säkerhetsmedvetna datornördar kan nätfiskeattackeras under rätt förutsättningar. Se fullständiga shownotes på https://go.nikkasystems.com/podd261.

16 Aug 202436min

Bör mobilens funktion för automatisk anslutning till kända wifi-nätverk stängas av? Det tycker åtminstone australiensiska polisen. I början av sommaren publicerade de ett pressmeddelande där de bland annat uppmanade folket att stänga av funktionen (lyssna på avsnitt 256 av Bli säker-podden). En gång i tiden var automatisk wifi-anslutning förenat med nämnvärda risker, både ur ett säkerhetsperspektiv och ett personligt integritetsperspektiv. De senaste 15 åren har Apple och Google arbetat hårt för att åtgärda de underliggande bristerna. Numera borde därför de flesta användare kunna bibehålla bekvämligheten med automatiskt wifi-anslutning. Veckans avsnitt av Bli säker-podden följer upp avsnittet om riskerna med publika wifi-nät med en genomgång av hur wifi-nätverk har kunnat utnyttjas för att spåra användares mobiler. Se fullständiga shownotes på https://go.nikkasystems.com/podd260.

9 Aug 202435min

Två veckor efter den stora Crowdstrike-incidenten börjar konsekvenserna utkristalliseras. Enligt en intervju som nyhetsbyrån Reuters gjorde med cyberförsäkringsföretaget Parametrix har de globala förlusterna landat på uppskattningsvis 15 miljarder dollar. Crowdstrikes aktie har samtidigt fortsatt att falla, och aktieägare har nu gått summan för att stämma IT-säkerhetsjätten för att ha undanhållit sina bristfälliga testrutiner. I veckans avsnitt av Bli säker-podden följer Peter och Nikka upp vad som har hänt på Crowdstrike-fronten. Nikka presenterar också tre potentiella lösningar som Microsoft skulle kunna vidta för att inte liknande incidenter ska kunna inträffa igen. Podduon går igenom hur Apple och Google har löst situationen för sina operativsystem och varför det inte nödvändigtvis är gångbara lösningar för Microsofts del. Se fullständiga shownotes på https://go.nikkasystems.com/podd259.

2 Aug 202436min

I fredags inträffade den historiskt största antivirusrelaterade driftstörningen. Plötsligt kraschade Windows-datorer runt omkring i hela världen, och efter att datorerna hade startat om kraschade de igen. Incidenten slog ut flygtrafiken i USA och tvingade svenska LKAB att utrymma en gruva. Betallösningar slutade fungera och TV-sändningarna från minst en TV-kanal gick ned. Alla dessa datorkrascher berodde på en gemensam faktor: en säkerhetsmjukvara från amerikanska Crowdstrike. De drabbade företagen använde antingen mjukvaran själva eller förlitade sig på en leverantör som använde den nämnda mjukvaran. På grund av tre samverkande buggar kunde en automatisk Crowdstrike-uppdatering få dessa ödesdigra konsekvenser. The Guardian rapporterar att försäkringsbolagen uppskattar följdkostnaderna för de amerikanska Fortune 500-företagen till 5,4 miljarder dollar (Microsofts finansiella förluster är inte medräknade). I veckans specialavsnitt av Bli säker-podden kartlägger Peter och Nikka vad som egentligen hände och hur det kunde hända. De går igenom incidenten från start till slut och förklarar varför just Crowdstrike-uppdateringen kunde få så världsutbredda konsekvenser. Se fullständiga shownotes på https://go.nikkasystems.com/podd258.

26 Juli 202451min

Mozilla och Meta har utvecklat en experimentell lösning för att mäta annonsers effektivitet utan att spåra användare. Lösningen låter annonsörer veta hur många kunder som köper något efter att ha sett eller klickat på någon av annonsörens annonser. Men annonsören får inte reda på exakt vilka kunder som har klickat annonserna i fråga. Mozilla kallar lösningen “integritetsbevarande annonsmätningar” eller PPA (Privacy-Preserving Attribution). Deras målsättning är att ge webbens annonsörer ett spårningsfritt alternativ till de användarspårande annonseringslösningarna som Firefox och flera andra webbläsare blockerar i allt större utsträckning. Deras förhoppning är att experimentet ska mynna ut i en ny webbstandard som ersätter dagens integritetskränkande användarspårning. Trots att lösningen är på experimentellt stadie har Mozilla valt att aktivera den som standard i den senaste versionen av Firefox. Firefox-användare som inte vill medverka i experimentet måste själva stänga av funktionen. Detta beslut ledde till stor kritik bland Firefox-entusiaster. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur PPA fungerar rent tekniskt. Nikka berättar varför lösningen är mycket bättre än dagens användarspårning och varför han trots det väljer att stänga av funktionen. Se fullständiga shownotes på https://go.nikkasystems.com/podd257.

19 Juli 202434min

Den gångna veckan rapporterade media om så kallade Evil twin-attacker. En man i Australien hade satt upp falska accesspunkter på flera flygplatser. När resenärerna anslöt till de falska accesspunkterna möttes de av inloggningssidor som uppmanade dem att dela med sig av personlig information för att få komma ut på internet. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om vilka risker som kvarstår med publika wifi-nätverk år 2024. Riskerna är lyckligtvis betydligt färre än för tio år sedan, men några risker kvarstår. Se fullständiga shownotes på https://go.nikkasystems.com/podd256.

12 Juli 202433min