#316 Lösenordshanterarnas egna autentiseringsappar

Förra veckan gick Googles årliga utvecklarkonferens Google IO av stapeln. Precis som tidigare år passar vi på att summera vilka säkerhets- och integritetsförbättringar som Google presenterade. I år är nyheterna bland annat tydligare behörighetsfrågor för geografisk plats, en ny version av surfskyddet Google Safe Browsing samt ett nytt krav på appar som publiceras i Google Play-appbutiken. Om en app i Google Play låter användarna skapa konton kommer appen också behöva låta användarna radera dessa konton. Se fullständiga shownotes på https://go.nikkasystems.com/podd198.

19 Maj 202335min

I förra veckans avsnitt av Bli säker-podden pratade vi om incidenten hos Region Skåne där en forskare hade råkat tappa bort ett okrypterat USB-minne med personuppgifter. Av IMY:s rapport framgår det att Region Skåne uppmanade medarbetare att använda komprimeringsprogrammet 7-zip som en teknisk säkerhetsåtgärd. 7-zip kan nämligen inte bara komprimera filer utan även kryptera de hoppackade zip-arkiven. 7-zip är dock ingen optimal lösning för situationen. Det är opraktiskt för medarbetarna att behöva packa ihop och packa upp krypterade zip-arkiv för att komma åt sina filer. Därutöver öppnar sådant krångel för misstag, till exempel att någon medarbetare packar upp ett krypterat zip-arkiv till det okrypterade USB-minnet i stället för till sin dator. Lyckligtvis finns det lämpligare lösningar än 7-zip, och i veckans avsnitt berättar vi vilka dessa är. Se fullständiga shownotes på https://go.nikkasystems.com/podd197.

12 Maj 202338min

USB-minnen är problematiska. De är små, de är lätta att tappa bort och de används oftast för tillfällig kopiering eller flytt av data. I organisationer där USB-minnen tillåts är det därför lätt hänt att känslig data flyttas runt på ett ostrukturerat vis. Om datan läggs på ett USB-minne som inte är krypterat förvärras situationen. Ifall någon tappar bort ett sådant USB-minne har den känsliga datan läckt. Detta var exakt vad som hände Region Skåne. Där råkade en medarbetare lagra känsliga personuppgifter tillhörande nära 2000 personer på ett okrypterat USB-minne. Medarbetaren glömde USB-minnet i kläder som senare skickades till ett tvätteri. USB-minnet återfanns aldrig. I slutet av april utfärdade IMY en administrativ sanktionsavgift på 200 000 kronor mot Region Skåne med anledning av personuppgiftsincidenten. I veckans avsnitt av Bli säker-podden reflekterar vi över incidenten och vilka lärdomar som organisationer bör dra av den. Se fullständiga shownotes på https://go.nikkasystems.com/podd196.

4 Maj 202337min

DNS-systemet fungerar som internets telefonkatalog. Det är tack vare DNS som vi slipper komma ihåg krångliga IP-adresser till servrarna som vi vill besöka. Vi behöver bara komma ihåg lättihågkomliga domännamn (till exempel nikkasystems.com), så översätter vår valda eller tilldelade DNS-server domännamnen till de rätta IP-adresserna (i det fallet 49.12.191.204). Så kallade DNS-skydd kan, tack vare vårt beroende av DNS, förhindra att vi ansluter till skadliga webbplatser. Genom att filtrera bort domäner som är kända för att sprida exempelvis skadeprogram förhindrar DNS-servern att vi besöker dessa webbplatser. Om vi luras att klicka på en länk till en känd skadlig webbplats händer ingenting. Vår dator eller mobil får helt enkelt inte reda på vart den ska ansluta. I veckans avsnitt av Bli säker-podden pratar vi om en förhållandevis ny aktör på DNS-skyddsmarknaden: NextDNS. NextDNS har skapat en tjänst som gör det möjligt för privatpersoner och småföretag att själva anpassa hur deras DNS-skydd ska fungera. Se fullständiga shownotes på https://go.nikkasystems.com/podd195.

28 Apr 202336min

Problematiken med stater som utnyttjar kommersiella spionprogram för att spionera på folket har gjort sig påmind igen. Citizen Lab vid University of Toronto har upptäckt hur den ökända Pegasus-trojanen, återigen, har missbrukats för att spionera på människorättskämpar. Tillsammans med Microsoft har Citizen Lab också kunnat avslöja hur Kingspawn-trojanen har infekterat bland annat journalisters och politiska meningsmotståndares mobiler. Allt detta har gjorts via sårbarheter i mobilernas operativsystem som har gjort det möjligt att infektera mobilerna utan att användarna har behövt göra någonting alls. I veckans poddavsnitt återvänder Peter och Nikka till diskussionen om kommersiella spionprogram och hemlig dataavläsning. Frågan har aktualiserats med anledning av nya förbud från Biden-administrationen och nya lagförslagsändringar från svenska regeringen. Citizen Labs rapport visar också att Apples nya funktion ”låst läge” faktiskt fungerar och har förhindrat verkliga infektionsförsök. Se fullständiga shownotes på https://go.nikkasystems.com/podd194.

21 Apr 202336min

Googles sökmotor är det självklara valet för att söka på webben. Google är inte bara den förvalda sökmotorn i Googles egen webbläsare. Det är också den förvalda sökmotorn i konkurrerande webbläsare såsom Safari och Firefox. Faktumet att vi har vant oss vid att ”googla” understryker rollen som Googles sökmotor har fått i våra liv. Efter att Google slog igenom har de andra sökmotorerna haft svårt att plocka nämnvärda marknadsandelar. Men Googles dominans betyder inte att det saknas gångbara alternativ. Det finns rent av sökmotorer som ger bokstavligen lika bra sökresultat. Startpage är ett sådant exempel. Startpage köper nämligen sina sökresultat av just Google. I veckans poddavsnitt pratar Nikka och Peter om de integritetsvärnande Google-alternativen som finns i dagens sökmotorlandskap. Podduon jämför nämnda Startpage med bland annat Duck Duck Go och Brave Search. Nikka avslöjar också Mullvad Leta – en integritetsvärnande sökmotor från företaget bakom Mullvad VPN. Se fullständiga shownotes på https://go.nikkasystems.com/podd193.

14 Apr 202334min

Avsnitt 183 av Bli säker-podden fokuserade på säkerhetsproblematiken med EU-kommissionär Ylva Johanssons kontroversiella förslag ”Chat Control 2.0”. I det avsnittet konstaterade Peter och Nikka att förslaget både bygger på tekniska orimligheter och öppnar dörren för massövervakning som utsätter hela världen för nya faror. Sedan dess har mycket hänt. I Svenska Dagbladets debatt mellan Johansson och Nikka tydliggjordes det att förslaget är skrivet på helt felaktiga tekniska antaganden, såsom att det skulle gå att ”sniffa” innehållet i totalsträckskrypterade konversationer. Svenska ledarredaktioner från hela den politiska höger/vänster-skalan har tagit avstånd från förslaget. Bland de svenska riksdagspartierna har Centerpartiet, Sverigedemokraterna och Vänsterpartiet tillkännagjort att de inte kan stötta ett förslag som Chat Control 2.0. I veckans avsnitt av Bli säker-podden följer Nikka och Peter upp med svaret på den viktiga följdfrågan: vad kan göras i stället? I avsnittets huvudämne redogör Nikka för vad som går att göra rent tekniskt för att adressera problematiken utan att ta bort barnens Barnkonventionsstadgade rättigheter eller bryta mot Europakonventionen och FN:s deklaration om mänskliga rättigheter. Se fullständiga shownotes på https://go.nikkasystems.com/podd192.

7 Apr 202335min

För två år sedan fick Peter Esse ett misstänkt mejl angående sin Youtube-kanal. Ett företag som påstod sig representera Epic Games ville betala en orimlig summa för att han skulle testa ett nytt spel. Peter insåg att något var suspekt och undersökte därför mejlets bilaga i en virtuell maskin. Bilagan var i själva verket inget sponsorkontrakt. Det var ett skadeprogram. Sedan dess har Peter fortsatt att få liknande mejl på veckobasis, och han är inte ensam. Google har till och med gått ut med en varning om problemet. Bedragare lockar med stora sponsorsummor i hopp om att youtubers ska öppna de infekterade bilagorna. Om de gör det kapas deras Youtube-kanaler som därefter missbrukas för att sprida investeringsbedrägerier. Förra veckan föll mediehuset Linus Media Group offer för att attacken. Deras tre Youtube-kanaler, inklusive flaggskeppet Linus Tech Tips, började live-strömma en intervju med Elon Musk och uppmanade tittarna att investera i ett bedrägeriprojekt. I veckans podd pratar Peter och Nikka om hur angriparna lyckades få tillgång till Linus Media Groups Youtube-kanaler trots att Youtube-kontona skyddades med tvåfaktorsautentisering. Trogna Bli säker-poddenlyssnare som minns avsnitt 165 (Snatta kakor) vet redan svaret. Se fullständiga shownotes på https://go.nikkasystems.com/podd191.

31 Mars 202334min