#010 Säker kameraövervakning i smarta hem

Under flera år har USA hotat att förbjuda Tiktok om appen inte säljs till ett amerikanskt bolag. Den gångna helgen blev förbudet verklighet. Tiktok plockades bort från appbutikerna och inloggade amerikanska användare möttes av ett felmeddelande. Förbudet blev dock kortvarigt. Ett dygn senare var appen tillbaka. USA:s nytillträdde president Donald Trump sköt upp förbudet i hopp om att hitta en lösning. De amerikanska turerna kring Tiktok har återaktualiserat frågan om huruvida Tiktok-appen borde få finnas på svenska jobbmobiler. I veckans podd återvänder därför Peter och Nikka till frågan. Poddens rekommendation har inte förändrats, men det har däremot underlaget som företagen kan basera sina beslut utifrån. En studie från Rutgers University antyder att Tiktok visar mer kinavänligt innehåll än konkurrerande appar från amerikanska Meta och Google (Tiktoks ägare Bytedance förnekar att videoklippens ämne påverkar prioriteringsalgoritmen). Noyb har också anmält Tiktok till den grekiska motsvarigheten till Integritetsskyddsmyndigheten och hävdar att appen bryter mot GDPR. Se fullständiga shownotes på https://go.nikkasystems.com/podd284.

24 Jan 38min

Annonsnätverken har många metoder för att spåra användare på nätet. De ofta omdebatterade spårningskakorna är långt ifrån det enda sättet. IP-adresserna är ett annat sätt. Webbläsarnas så kallade ”fingeravtryck” är ett tredje sätt. Alla webbläsare avslöjar information om sig själva. Det kan handla om allt från tidzon och språk till skärmupplösning och operativsystem. Dessa egenskaper är långt ifrån unika, men en kombination av sådana egenskaper kan mycket väl vara det. Därigenom kan en webbläsare spåras mellan webbplatser trots att användaren blockerar spårningskakor och skyddar sin IP-adress med en VPN-tjänst. 2019 förklarade Google varför de förbjöd Google-annonsörer att spåra användare via fingeravtryck. Google skrev att fingeravtrycksspårning ”undergräver användarnas val och är fel”. Nu har Google ändrat åsikt. I Googles uppdaterade riktlinjer är det uttryckliga förbudet mot fingeravtrycksbaserad spårning bortplockat. I början av januari briserade samtidigt en annan stor spårningsnyhet. 404 Media och Wired avslöjade hur tusentals appar samlade in användarnas geografiska positioner. Apparna läckte sedan datan till bland annat norska Gravy Analytics som i sin tur råkade ut för ett dataintrång. Underligt nog var flera av de berörda apputvecklarna helt omedvetna om att datan hade hamnat hos Gravy Analytics. Förklaringen låg i sättet som de annonsfinansierade apparna valde ut vilka annonser som skulle visas för användarna. I veckans avsnitt pratar Peter och Nikka om spårning på nätet. Avsnittet är det första av två avsnitt på ämnet. Avsnittet avslutas med ett utdrag ur Lena Cohens artikel ”Online Behavioral Ads Fuel the Surveillance Industry – Here’s How” som EFF publicerade sjätte januari 2025 under CC BY-licens. Se fullständiga shownotes på https://go.nikkasystems.com/podd283.

17 Jan 34min

Så kallad ”spoofing” är ett återkommande problem. Bedragare kan ringa från ett helt annat telefonnummer än det som visas på mobilskärmen. PTS kräver att svenska operatörer ska motverka spoofing. Sedan i fjol måste operatörerna förhindra att någon ringer från utlandet med ett svenskt fast nummer. Från och med mars måste operatörerna också stoppa spoofade utlandssamtal från svenska mobilnummer. Lösningen som PTS kräver kommer att stoppa många spoofade samtal, men det är ingen hundraprocentig lösning. I slutet av december testade vi att spoofa samtal inom och mellan de svenska operatörerna. Resultatet var nedslående. Trots att Telia hade tagit på sig ledartröjan och redan börjat blockera spoofade mobilnummer kunde vi spoofa samtal till och från Telia-mobiler. I bland annat USA har operatörerna infört en mer långtgående lösning som kallas Stir/Shaken. Den gör att kompatibla samtal signeras, så att den som blir uppringd ser en grön bock intill verifierade uppringarnummer. För närvarande finns inga planer på att införa motsvarande teknik i Sverige. För att råda bot på problemet har den svenska entreprenören Lisa Hasselgren startat företaget Säkra samtal där SSF Stöldskyddsföreningen är delägare. Säkra samtal erbjuder en app som låter uppringande företag styrka att det faktiskt är någon från företaget i fråga som ringer. Med Säkra samtals-appen kan den som blir uppringd också se vilken medarbetare på företaget som ringer, även om medarbetaren ringer från ett växelnummer eller ett dolt nummer. I veckans poddavsnitt gästas Nikka av Lisa från Säkra samtal. Nikka berättar mer om sitt spoofing-test och förklarar varför PTS åtgärdskrav är bra men otillräckliga. Lisa berättar om bakgrunden till Säkra samtal och om hur appen fungerar. Se fullständiga shownotes på https://go.nikkasystems.com/podd282.

10 Jan 37min

På årets upplaga av Chaos Communication Congress avslöjades en stor dataläcka. Volkswagen Group hade samlat in bilars GPS-positioner och sparat dessa utan totalsträckskryptering. De etiska hackarna i Chaos Computer Club kom över datan i samband med att de upptäckte att Volkswagen hade råkat lägga sina inloggningsuppgifter till molntjänsten Amazon AWS publikt på webben. Totalt berörs över 800 000 elbilar av märkena Volkswagen, Skoda, Audi och Cupra (Seat). Enligt tyska Spiegel tillhör 68 000 av bilarna svenska bilägare. Volkswagen- och Cupra-bilarna är värst drabbade eftersom Volkswagen där, i strid med sin en policy, hade sparat GPS-positionerna med 10 cm noggrannhet. Det var därför inga problem för de etiska hackarna att se var bilarna hade parkerat historiskt, vilket i sin tur avslöjade allt från ett hemligt Volkswagen-labb till platserna där polis- och underrättelsetjänstfordon brukade parkera. I årets första poddavsnitt pratar Peter och Nikka om Volkswagen-läckan. Peter förklarar varför enbart specifika bilmodeller drabbades. Nikka förklarar varför de läcka GPS-positionerna ska ses som personuppgifter och varför Volkswagen inte borde ha samlat in dem från första början. Se fullständiga shownotes på https://go.nikkasystems.com/podd281.

3 Jan 36min

Ett nytt år står för dörren – ett nytt år då mycket kan hända. Traditionsenligt dedikerar Peter och Nikka huvudämnet i årsskiftespodden åt att spana in i framtiden. De presenterar i vanlig ordning fem IT-säkerhetsrelaterade nyheter som de tror att kan inträffa under det kommande året. Kommer det transatlantiska dataöverföringsavtalet att falla? Kommer Apple att avisera sin egen webbsökmotor? Kommer användningen av lösennycklar att fördubblas igen? Det är tre av årets spaningar, och i veckans podd förklarar Peter och Nikka varför de tror dessa händelser kan inträffa under 2025. Gott nytt år! Se fullständiga shownotes på https://go.nikkasystems.com/podd280.

27 Dec 202433min

Året går mot sitt slut. Runt om i samhället lyser julbelysningen upp hem och hus på ett traditionsenligt vis. Lika traditionsenligt passar Peter och Nikka på att följa upp årets fem profetior. Har profetiorna för 2024 slagit in eller var årets spaningar helt uti det blå? I veckans podd konstaterar Peter och Nikka huruvida Firefox reste sig ur elden, om tredjepartskakan fasades ut, om personlig integritet blev en valfråga samt om världen plågades av breda och AI-genererade spear-phishing-attacker. Peter utser också ordet ”inloggningsskalv” till årets nyord trots att det, förhoppningsvis, aldrig finns skäl att nämna det igen. Se fullständiga shownotes på https://go.nikkasystems.com/podd279.

20 Dec 202432min

Förra veckan hände det som inte fick hända. Peter föll offer för en nätfiskeattack! Han råkade ge angripare åtkomst till Youtube-kontot där han publicerar bilrelaterade nyheter och recensioner. Angriparna hade kombinerat tre metoder som tillsammans skapade en av de trovärdigaste nätfiskeattackerna någonsin. Angriparna använde bland annat ett modernt nätfiskeverktyg som gjorde att de kunde kapa Youtube-kontot trots att det skyddades med tvåfaktorsautentisering. Lyckligtvis upptäckte Peter att något var fel och hann återkalla angriparnas åtkomst i tid. I veckans poddavsnitt diskuterar Peter och Nikka hur angriparna gick till väga. Peter förklarar varför han inte märkte att sökresultatet som han klickade på i själva verket var en bluffannons som hade slunkit igenom Googles annonsgranskning. Angriparna hade nämligen inte bara utnyttjat brister i Googles annonssystem. Angriparna hade också dragit nytta av Googles eget webbhotell för att skänka extra trovärdighet till nätfiskekampanjen. I avsnittet ger podduon avslutande och konkreta rekommendationer på två åtgärder som förhindrar liknande attacker. Se fullständiga shownotes på https://go.nikkasystems.com/podd278.

13 Dec 202433min

I slutet av november firade SSF Stöldskyddsföreningen 90 år. Vänner och kollegor från hela säkerhetsbranschen minglade bland ballonger, dansgolv och tilltugg av alla dess slag. Mitt i firandet fanns också Bli säker-poddens mikrofoner som fångade upp intressanta röster från pratglada gäster. Veckans specialavsnitt av Bli säker-podden gästas av fyra framträdande profiler i IT-säkerhetsbranschen. Björn Eriksson (Polisen, chef för komplexa cyberbrott) berättar om tillslaget mot Lockbit-utpressarna och förklarar varför det är så viktigt att anmäla utpressningsattacker. Lotta Mauritzon (Polisen, nationell samordnare mot bedrägerier) berättar om bedrägerierna som riktas mot privatpersoner i Sverige och förklarar varför stulna betalkortnummer fortsätter att vara ett problem. Kristofer von Beetzen (produktchef på Freja E-ID) svarar på poddens följdfrågor om Frejas E-ID:s digitala ID-kort. Jeanette Lesslie Wikström (VD för Säkerhetsbranschen) avrundar poddavsnittet genom att ge branschens bild av IT-säkerhetsläget för företag runt omkring i Sverige. Se fullständiga shownotes på https://go.nikkasystems.com/podd277.

6 Dec 202434min