Bli säker-podden
Bli säker-podden gör dig lite IT-säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor. Podden produceras i ett ekonomiskt oberoende samarbete mellan Nikka Systems och Bredband2.
info_outline
#234 Akira-attacken mot Tietoevry
01/26/2024
#234 Akira-attacken mot Tietoevry
Konsekvenserna av utpressningsattacken mot IT-tjänsteleverantören Tietoevry har märkts tydligt runt omkring i samhället. Kontantfria verksamheter kunde plötsligt inte ta betalt. Detaljhandelskedjan Granngården fick rent av hålla sina butiker stängda i över tre dagar. Webbplatserna för Rusta och Stadium gick ner och de ligger fortfarande nere sex dagar efter attacken. Värst av alla drabbades Vellinge kommun. Utöver att deras webbplats slogs ut påverkades deras interna system. Under onsdagen blev det känt att till och med deras säkerhetskopior har blivit utpressningskrypterade. I veckans poddavsnitt går jag (Karl Emil Nikka) och Peter Esse igenom vad världen vet om attacken och dess konsekvenser än så länge. Vi pratar också om riskerna med det kontantfria samhället, hur organisationer ska tänka vid val av driftpartner samt vad alla myndigheter med medborgarkontakt måste ha i åtanke på grund av det förändrade säkerhetspolitiska läget. Veckans avsnitt är dessutom poddens femårsjubileum. Det var i januari 2019 som jag och Tess Hamark spelade in första avsnittet, vilket handlade om den onödiga lösenordsbytardagen. Målsättningen var då att släppa kvartslånga veckoavsnitt, men det byttes snabbt ut mot veckoliga halvtimmesavsnitt. Fem år (och 234 avsnitt) senare tackar vår samarbetspartner Bredband2 för sig. Jag är mycket tacksam över tiden som vi producerade podden tillsammans i ett gynnsamt ekonomiskt oberoende samarbete. Jag hade inte förväntat mig att det som började som ett ”experiment” skulle vara i hela fem år. Utan Bredband2:s stora kundskara hade podden aldrig heller fått så stort genomslag och stor spridning bland svenska folket, så stort tack till Bredband2. Med anledning dessa förändringar tar podden ett kort uppehåll under februari. Jag återkommer med mer information. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/29657993
info_outline
#233 Moment 22-faktor
01/19/2024
#233 Moment 22-faktor
Många av dagens lösenordshanterare har inbyggt stöd för att generera engångskoderna som behövs vid inloggning på konton som skyddas med tvåfaktorsautentisering. Bitwarden, 1password, Proton Pass och Icloud-nyckelringen är exempel på lösenordshanterare med sådant stöd. Integrerat stöd för att spara tvåfaktorsautentiseringshemligheter och generera engångskoder förenklar inloggningsprocessen. Stödet ersätter dock inte fristående tvåfaktorsautentiseringsappar helt och hållet. Någon app måste ju generera engångskoden som behövs vid inloggning i lösenordshanteraren. I veckans poddavsnitt pratar Peter och Nikka om den bästa lösningen på lösenordshanterarnas ”moment 22”. Nikka tipsar också om en kommande lösning som tar itu med problemet på riktigt. På sikt kommer det nämligen gå att låsa upp lösenordshanterare med passkeys. Tack vare en utökning till den underliggande standarden kommer kompatibla passkeys dessutom att eliminera behovet av att skriva in användarnamn och lösenord vid upplåsning av lösenordshanterarnas lösenordsvalv. Se fullständiga shownotes på https://go.nikkasystems.com/podd233.
/episode/index/show/nikkasystems/id/29557013
info_outline
#232 2FAS börjar utmana Authy
01/12/2024
#232 2FAS börjar utmana Authy
Authy har länge varit en favorit bland tvåfaktorsautentiseringsappar. Authy har låtit användarna synkronisera sina tvåfaktorsautentiseringshemligheter totalsträckskrypterat mellan enheter och mellan olika operativsystem. Appen har dessutom varit både reklamfri och kostnadsfri. Nu meddelar Twilio, företaget som driver Authy, att de framåt sommaren lägger ned stödet för Windows, Mac OS och Linux. De vill i stället satsa helhjärtat på IOS- och Android-versionerna. Lyckligtvis sammanfaller Authys stundande plattformsbegränsning med framväxten av en konkurrent: 2FAS. Den appen har dessutom öppen källkod. I veckans poddavsnitt pratar Peter och Nikka om varför 2FAS kan bli en lämplig ersättare till Authy lagom till Authys sorti från världens skrivbordsoperativsystem. Nikka förklarar också vilka förbättringar som 2FAS behöver göra fram till dess samt vilken begränsning som 2FAS alltid kommer att ha på grund av sättet som appen synkroniserar tvåfaktorsautentiseringshemligheterna. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/29455638
info_outline
#231 I spåkulan för IT-säkerhetsåret 2024
01/05/2024
#231 I spåkulan för IT-säkerhetsåret 2024
Ett nytt år är kommet. Det inleds traditionsenligt med ett poddavsnitt om vad som stundar ur ett IT-säkerhets- och integritetsperspektiv. Peter och Nikka sneglar på kalendern och tittar in i spåkulan för att servera fem profetior för IT-säkerhetsåret 2024. Se fullständiga shownotes på https://go.nikkasystems.com/podd231.
/episode/index/show/nikkasystems/id/29351623
info_outline
#230 Året som gick 2023
12/29/2023
#230 Året som gick 2023
2023 går mot sitt slut. Årets sista poddavsnitt dedikeras traditionsenligt till att följa upp profetiorna som myntades vid årets start. Slog passkeys igenom? Reste sig Firefox ur elden? Blev det problem med push-notiser på IOS? Blev Bing Bra? Skedde det några framsteg över Atlanten? Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/29267693
info_outline
#229 Trådtrassel och Twitter-trubbel
12/22/2023
#229 Trådtrassel och Twitter-trubbel
Nu har Meta lanserat sin Twitter-kopia ”Threads” i Europa. Förra veckan tillkännagav Metas grundare Mark Zuckerberg att de dessutom har påbörjat integrationen med Activitypub-nätverket. I sann Meta-anda har de dock gjort det enkelriktat: det går att följa utvalda Threads-profiler från Activitypub-baserade Mastodon, men det finns inga Mastodon-profiler som går att följa från Threads. I veckans poddavsnitt pratar Peter och Nikka om de senaste veckornas nyheter kring X (Twitter) och dess kloner. Podduon ger Threads en avriven guldstjärneudd som beröm för att de åtminstone delvis har anammat Mastodons lösning för profilverifiering. De pratar också om problematiken med falska säkerhetsvarningar på X samt om hur EU-kommissionen utreder om X verkligen lever upp till kraven som Digital Services Act lägger på tjänster av X:s storlek. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/29196418
info_outline
#228 Apples och Googles molnläckor
12/15/2023
#228 Apples och Googles molnläckor
I början av december avslöjade den amerikanska senatorn Ron Wyden att Apple och Google lämnade ut information om användarnas push-notiser. Detta gjorde de två IT-jättarna utan att informera de berörda användarna. I en kommentar till Reuters meddelade Apple att federala myndigheter hade förbjudit dem att offentliggöra utlämnandet. Sättet som push-notiser skickas gör avlyssningen extra allvarlig. Nästintill alla push-notiser som går till IOS- och Android-mobiler skickas nämligen via Apples respektive Googles molntjänster. Signals VD Meredith Whittaker har förklarat att det är av batteriskäl som operativsystemstillverkarnas molntjänster är de enda framkomliga vägarna för att skicka push-notiser. Signal, Proton och andra tjänster som tar dataskyddet på allvar totalsträckskrypterar innehållet i push-notiserna. Tyvärr är totalsträckskrypteringen inte något som Apple och Google tillhandahåller, vilket gör att IT-jättarna i normalfall kan se exakt vad som står i push-notiserna. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om Ron Wydens avslöjande och vilka konsekvenser som det får, inte bara för push-notiser utan för all data som passerar IT-jättarnas molntjänster. Det blir allt viktigare att Apple och Google skyddar användarnas data på teknisk väg, så att IT-jättarna inte har någon data att lämna ut när de nästa gång åläggs att göra det i hemlighet. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/29092958
info_outline
#227 Dumma DRM-skydd
12/08/2023
#227 Dumma DRM-skydd
Digitalt distribuerade filmer och böcker kopieringsskyddas ofta med någon typ av DRM (Digital Rights Management). Kunder som köper DRM-skyddade filer kan inte dra nytta av sin lagstadgade rätt att privatkopiera dessa (notera ”privatkopiera”, inte ”piratkopiera”). Kunderna kan också fråntas sin möjlighet att spela upp filmerna eller läsa böckerna. Fram till 2021 sålde Sony både filmer och TV-serier via Playstation Store. Nu står det dock klart att kunder som ”köpte” filmer och TV-serier därigenom i själva verket långtidshyrde dessa. Förra veckan meddelade Sony att de hade ändrat i sina licensavtal med innehållsleverantören Discovery och att Sony därför raderar kundernas ”köpta” Discovery-filmer och -serier. En liknande situation drabbade kunderna som hade ”köpt” böcker i bokbutiken som Microsoft drev fram till 2019. Då valde Microsoft att lägga ned bokbutiken och radera kundernas köpta böcker. Till skillnad från Sony valde Microsoft att betala tillbaka pengarna, men situationen belyste ändå problemet: så länge böcker har DRM-skydd kan säljaren frånta köparen möjligheten att läsa boken. I veckans poddavsnitt pratar Peter och Nikka om de mångåriga problemen med DRM i musik, böcker och filmer. Historiskt har Sony nämligen gjort något ännu värre än att bara radera kundernas köpta filmer. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28984973
info_outline
#226 Rörd och skakad (STIR/SHAKEN)
12/01/2023
#226 Rörd och skakad (STIR/SHAKEN)
Dagens telefonisystem är trasigt. På grund av mobiloperatörernas oförmåga att ta itu med gamla kvarlevor kan bedragare skicka SMS som står att kommer från banken och ringa från det lokala bankkontorets telefonnummer (så kallad spoofing). I november presenterade mobiloperatörerna och PTS varsin åtgärd för att begränsa problemen. Mobiloperatörerna lanserade ett nytt kortnummer som medborgare kan rapportera misstänkta SMS till. SMS som vidarebefordras till kortnummer 7726 går till alla mobiloperatörers bedrägeribekämpningsavdelningar på samma gång. Detta löser självfallet inte problemet med att bedragare skickar SMS i falska namn, men det kan åtminstone begränsa spridningen. PTS lanserade en ny vägledning för hur telefonoperatörer ”kan” (inte ”ska”) hantera situationer då någon ringer från utlandet med ett telefonnummer som börjar på +46. Idag spoofar internationella bedragare ofta svenska nummer för att öka sannolikheten att svenska offer svarar. PTS uppmanar telefonoperatörerna att sätta stopp för detta. Vägledningen kan omvandlas till bindande föreskrifter redan nästa år. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om dessa två tilltag. Nikka förklarar också hur det faktiskt redan finns en teknisk lösning som stoppar spoofing av telefonnummer. Lösningen heter STIR/SHAKEN och används redan i USA efter krav från amerikanska FCC. Frankrike kommer också att anamma tekniken. Med STIR/SHAKEN på plats kan mobiloperatörerna se ifall samtal kommer från de påstådda telefonnumren och stoppa falska samtal innan de kopplas fram till abonnenterna. Sedan släppet av IOS 13 och Android 11 kan verifierade samtal till och med indikeras med en verifieringssymbol på samtalsskärmen, så att den som blir uppringd vet att uppringarnumret är äkta. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28879358
info_outline
#225 Blå bubbla, grön bubbla
11/24/2023
#225 Blå bubbla, grön bubbla
I förra veckans poddavsnitt pratade vi bland annat om Nothings bryggtjänst som kopplade ihop Android-mobiler med Apples Imessage-system. Vi summerade situationen med orden ”det här är någonting som ingen bör använda” Sedan dess har det hänt än hel del. För det första visade sig tjänsten vara ännu värre än vi ursprungligen antog. Utöver den säkerhetsmässigt vidriga principen som lösningen förlitade sig på var Nothings säkerhets- och konfidentialitetsutfästelser rena lögner. Detta avslöjades av trio säkerhetsgranskare, och deras avslöjanden fick Nothing att ta bort appen från Google Play. För det andra har Apple meddelat att de kommer förbättra interoperabiliteten mellan IOS och Android på egen hand. Nästa år kommer Apple att lägga till stöd för RCS-meddelanden i Iphones meddelandeapp. Det gör att meddelanden som skickas mellan Iphone- och Android-mobiler får stöd för moderna meddelandefunktioner, till exempel reaktioner, läskvitton, skrivindikatorer och bilagor med hög kvalitet. I veckans podd pratar vi om båda dessa nyheter och varför de inte förändrar vår ständigt återkommande rekommendation: använd Signal. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28777278
info_outline
#224 Doxing Me, Doxing You
11/17/2023
#224 Doxing Me, Doxing You
Termen ”doxing” syftar på när någon illvilligt publicerar information om någon annan på nätet. Ett exempel är när konflikter mellan gamers eller youtubers får den ena parten att röja den andra partens bostadsadress. Ur ett svenskt perspektiv kan det låta tämligen harmlöst. Våra svenska bostadsadresser är ju redan offentliga. Internationellt sett är det annorlunda. I veckans poddavsnitt pratar Peter och Nikka om offentliga personuppgifter och hur flera svenska webbplatser utnyttjar ett undantag i GDPR för att göra offentliga personuppgifter lättillgängliga. Frågan är om webbplatserna gör personuppgifterna lite för lättillgängliga? Förra månaden inledde regeringen en utredning av grundlagsskyddet som ger sajter såsom Eniro, Hitta.se, Mr Koll och Ratsit rätt att publicera personuppgifter på sättet som de gör idag. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28684478
info_outline
#223 Qwacka tillbaka till Netscape
11/10/2023
#223 Qwacka tillbaka till Netscape
EU vill förändra sättet som säkra anslutningar på internet garanteras. Dagens modell bygger på ett certifikatsystem med signering i flera led. För att en webbläsare ska lita på att webbplatsen som visas är den äkta måste webbplatsen ha ett giltigt certifikat. Det certifikatet måste i sin tur vara signerat av en certifikatutfärdare som webbläsaren eller det underliggande operativsystemet har förtroende för. Certifikatutfärdarna som är betrodda fastläggs av de rotcertifikat som webbläsar- och operativsystemsutvecklarna har valt ut. Webbläsar- och operativsystemsutvecklarna ansvarar för att granska rotcertifikatutfärdarna. Slutanvändarna litar på sina webbläsare och operativsystem samt deras granskningsprocesser. Därigenom litar slutanvändarna också på att ingen av de utvalda rotcertifikatutfärdarna låter sig utnyttjas för att generera falska certifikat. Nu vill EU att EU:s medlemsländer ska få samma roll som de betrodda rotcertifikatutfärdarna. Som en del av den reviderade EIDAS-förordningen vill EU kräva att europeiska webbläsare ska lita på statsutfärdade certifikat på samma sätt som webbläsarna litar på dagens rotcertifikat. Dessa statsunderstödda certifikat kallas Qwac (Qualified website authentication certificate) och kan ge EU:s medlemsländer möjlighet att bryta upp krypterad internettrafik. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om konsekvenserna som Qwac får för säkerheten på nätet. Avsnittet är en uppföljning till avsnitt 162 från våren 2022 då Tess och Nikka varnade för förslaget, vilket nu ser ut att bli verklighet. Se fullständiga shownotes på https://go.nikkasystems.com/podd223.
/episode/index/show/nikkasystems/id/28579028
info_outline
#222 Vad gör Cert-SE och NCSC-SE?
11/03/2023
#222 Vad gör Cert-SE och NCSC-SE?
Den här veckan gästas Bli säker-podden av Karl Selin. Han arbetar som senior cybersäkerhetsspecialist vid Cert-SE och NCSC-SE. Cert-SE är Sveriges nationella ”Computer Security Incident Response Team” och är en del av MSB - Myndigheten för samhällsskydd och beredskap. NCSC-SE är Sveriges nationella cybersäkerhetscenter som har uppdraget att ”stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera cyberhot”. I veckans avsnitt förklarar Karl Selin vad Cert-SE och NCSC-SE pysslar med om dagarna samt hur han och hans kollegor kan hjälpa svenska organisationer. Karl Selin ger också konkreta tips på hur Cert-SE:s omvärldsbevakning kan bli en kostnadsfri och viktig pusselbit i organisationers IT-säkerhetsarbete. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28504667
info_outline
#221 IP-adresskydd i Chrome och Brave
10/27/2023
#221 IP-adresskydd i Chrome och Brave
Det finns flera sätt som användare kan spåras mellan webbplatser på nätet, till exempel spårningskakor, webbläsarinställningar och IP-adresser. Användare som vill förhindra att de spåras via sin IP-adress har fram till nyligen behövt skaffa en VPN-tjänst, men nu börjar allt fler webbläsare få inbyggda VPN-liknande lösningar för att motverka just IP-adressbaserad spårning. Google har börjat experimentera med en funktion som de kallar IP Protection. Funktionen gör att Chrome-användarnas trafik tunnlas via en proxy, vilket effektivt döljer användarnas IP-adresser för webbplatserna som de besöker. Google överväger till och med att implementera samma dubbelhoppsmetod som Apple erbjuder i Safari (som en del av Icloud+). Dubbelhoppsmetoden förhindrar att Google själva ser vilka webbplatser som användarna besöker. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om för- och nackdelarna med Googles nya förslag samt dess likheter med Iclouds redan existerande funktion ”Privat relätjänst”. Podduon pratar också om den webbläsarintegrerade VPN-tjänsten Brave VPN som har gjort att företaget bakom Brave-webbläsaren har hamnat i blåsväder… igen. Se fullständiga shownotes på https://go.nikkasystems.com/podd221.
/episode/index/show/nikkasystems/id/28438883
info_outline
#220 Säkra e-postanslutningar
10/20/2023
#220 Säkra e-postanslutningar
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur e-postappar bör konfigureras ur ett säkerhetsperspektiv. Till skillnad från dagens webbläsare indikerar nämligen inte e-postapparna lika tydligt när mejl hämtas över osäkra och avlyssningsbara anslutningar. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28373093
info_outline
#219 Svenskarna och internet 2023
10/13/2023
#219 Svenskarna och internet 2023
Varje år publicerar Internetstiftelsen Sveriges största rapport om svenskars internetvanor: Svenskarna och internet. Undersökningen omfattar en mängd perspektiv, däribland svenskarnas syn på integritet och säkerhet på nätet. Årets veckofärska undersökning är extra intressant. Den avslöjar att hela 94 % av svenska folket vill ge polisen rätt att ta del av privata meddelanden från brottsmisstänkta personer. I veckans poddavsnitt diskuterar Peter och Nikka vad som ligger bakom den höga siffran. De lyfter också upp en handfull andra statistikgodbitar som Internetstiftelsen påvisar genom årets undersökning. Se fullständiga shownotes på . Avsnittet innehåller ett ljudklipp från Internetstiftelsens presentation av rapporten (CC BY, Internetstiftelsen).
/episode/index/show/nikkasystems/id/28305860
info_outline
#218 Säkrare webbanslutningar
10/06/2023
#218 Säkrare webbanslutningar
För tio år sedan gjordes merparten av världens webbplatsbesök över osäkra anslutningar. Tack vare Let’s encrypt-projektet och påtryckningar från webbläsarutvecklarna sker numera nästintill alla webbplatsbesök över säkra anslutningar. På sikt ska samtliga webbanslutningar vara säkra och stora helsidesvarningar kommer att visas ifall ett besök sker över en osäker anslutning. Möjligheten att aktivera krav på säkra anslutningar finns redan i dagens webbläsare, men kravet är inaktiverat som standard. Webbläsarutvecklarna tar i stället små steg framåt för att sakta men säkert närma sig det slutliga målet. Under sommarmånaderna har framförallt Google Chrome tagit flera sådana steg, och i veckans avsnitt av Bli säker-podden pratar Peter och Nikka om dessa förändringar. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28242779
info_outline
#217 Fjärde momentet för Windows 11
09/29/2023
#217 Fjärde momentet för Windows 11
Microsofts plan var en gång i tiden att Windows 10 skulle bli den sista Windows-versionen. I stället för att släppa nya Windows-versioner skulle Microsoft släppa uppdateringar till Windows 10 två gånger per år. Denna underhållsmodell fungerade dåligt i praktiken och Microsoft åtgick till att släppa nya Windows-versioner och att revidera dessa på årlig basis i stället för halvårsvis. För att bibehålla möjligheten att släppa nya funktioner i hög takt lanserade Microsoft ”Moments”. Det är små funktionspaketeringar som Microsoft kan rulla ut via Windows Update utan att behöva släppa nya Windows-versioner. I veckan började det fjärde Moments-paketet rulla ut, vilket innehöll flera säkerhetsrelaterade nyheter I veckans poddavsnitt diskuterar Peter och Nikka säkerhetsnyheterna i det fjärde Moments-paketet. Nikka var inledningsvis glad över att det innehöll både en säkerhetskopieringsapp och stöd för passkeys, men efter att ha testat de nya funktionerna var glädjen försvunnen. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28175258
info_outline
#216 Lugna länkar
09/22/2023
#216 Lugna länkar
I årtionden har privatpersoner och medarbetare varit rädda för att klicka på länkar som kommit via mejl. Bakgrunden till detta är att det en gång i tiden gick att bli infekterad av att enbart besöka en attackpreparerad webbsida. Den tiden är förbi. Vi har fått säkrare webbläsare med sandlådor och webbplatsisolering. Dessa webbläsare kör vi sin tur på säkrare operativsystem. Vi har därtill gjort oss av med alla webbläsartillägg som tidigare krävdes för att köra exempelvis Java-, Flash- och Silverlight-innehåll på webbsidor. Dessa tredjepartstekniker behövdes förr i tiden till allt från bankinloggning till videouppspelning, men de är numera ersatta med renodlade webbtekniker som våra webbläsare kan visa på egen hand. I veckans poddavsnitt pratar Peter och Nikka om varför det är dags att ändra den uråldriga rekommendationen om att vara rädd för länkar i mejl. Risken för länkar som leder till nätfiskesidor kvarstår, men för att bli infekterad måste den som klickar på länken göra något mer än att bara besöka den länkade webbsidan. Allt detta gäller självfallet under förutsättning att datorn och dess appar är underhållna och uppdaterade. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28111052
info_outline
#215 Nya nolldagarssårbarheter
09/15/2023
#215 Nya nolldagarssårbarheter
Under den gångna veckan åtgärdades flera aktivt utnyttjade nolldagarssårbarheter, det vill säga sårbarheter som utnyttjades av angripare innan det fanns några åtgärdande säkerhetsuppdateringar. Apple släppte en panikuppdatering till IOS för att täppa till två nolldagarssårbarheter som utnyttjades av en okänd aktör för att infektera Iphone med det ökända spionprogrammet Pegasus. Allt aktören behövde göra var att skicka en specialpreparerad Imessage-bilaga till mobilen som de ville infektera. Google och Mozilla släppte uppdateringar för att täppa till en nolldagarssårbarhet i Chrome respektive Firefox. Sårbarheten lät angripare infektera datorer genom att lura användaren att visa en specialpreparerad bild. Adobe åtgärdade en sårbarhet i Acrobat Reader som lät angripare infektera datorer på samma sätt fast genom att visa en PDF-fil i stället för en bild. I veckans poddavsnitt pratar Peter och Nikka om dessa nolldagarssårbarheter, varför det är så viktigt att köra underhållen mjukvara och varför det är så viktigt att installera säkerhetsuppdateringar så fort de blir tillgängliga. Podduon återkommer till detta frekvent belysta ämne med anledning av veckans ovanligt intressanta nolldagarssårbarheter och för att ge viktig bakgrundsinformation inför nästa veckas huvudämne. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/28038765
info_outline
#214 Säkra second brains
09/08/2023
#214 Säkra second brains
Förra veckans poddavsnitt handlade om säkra anteckningsappar av det traditionella slaget. Veckans poddavsnitt följer upp med en genomgång av så kallade second brain-anteckningsappar. Det är anteckningsappar som låter dig länka ihop anteckningar, så att helheten av dina anteckningar blir mer givande än alla anteckningar var för sig. Som exempel används den säkra anteckningsappen Obsidian, vilken även löser portabilitetsproblematiken. Genom att spara anteckningarna i individuella råtextfiler säkerställer Obsidian att du alltid kommer att kunna läsa dina anteckningar, även dagen då någon ny app har konkurrerat ut Obsidian. I veckans poddavsnitt demonstrerar också Peter och Nikka hur bra Elevenlabs nya AI-röstklonare fungerar. Nikka passar även på att, ytterligare en gång, döda myten om att mobilen tjuvlyssnar för att servera oss relevanta annonser. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27975945
info_outline
#213 Säkra anteckningsappar
09/01/2023
#213 Säkra anteckningsappar
Vi har alla behov av att anteckna saker i vår vardag. För att göra detta kan vi välja mellan en mängd olika anteckningsappar som låter oss strukturera och synkronisera våra anteckningar. Tyvärr är det långt ifrån alla anteckningsappar som synkroniserar våra anteckningar totalsträckskrypterat. Det är problematiskt med tanke på hur känsliga saker som många av oss skriver i våra anteckningar. Lyckligtvis finns det flera bra, säkra och integritetsvärnande anteckningsappar. I veckans poddavsnitt pratar Peter och Nikka om fyra av dem: Apple Anteckningar, Joplin, Standard Notes och Notesnook. De fyra anteckningsapparna har sina respektive för- och nackdelar som gör dem mer eller mindre optimala för olika målgrupper och ändamål. Veckans poddavsnitt är den första halvan av genomgången. Lyssna även på nästa veckas avsnitt som handlar om säkra så kallade ”second brain-anteckningsappar”, till exempel Obsidian. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27910239
info_outline
#212 Chromes integritetsvärnande (?) annonsämnen
08/25/2023
#212 Chromes integritetsvärnande (?) annonsämnen
Sättet som vi spåras på nätet är ohållbart i längden. Det vet till och med Google. Dagens tredjepartskakor som låter annonsföretag bygga annonsprofiler om oss är helt enkelt för integritetskränkande. Både Firefox och Brave har sedan länge blockerat alla tredjepartskakor av detta skäl, och snart kommer även Google att låta Chrome göra det. Googles ursprungstanke var att fasa ut stödet för tredjepartskakor lagom till årsskiftet 2021/2022, men de har skjutit upp utfasningen gång på gång. En av huvudorsakerna till fördröjningen är att Google har saknat en gångbar ersättningsteknik. Deras första förslag på ersättningsteknik kallades Floc. Den tekniken sågades från flera håll. Integritetsvurmare bad rent av Google att ”go floc yourself”. Google lyssnade på kritiken och tog fram en förbättrad ersättare som kallas Topics API. Under årets sommarmånader rullade Google successivt ut stödet för Topics API. Nu ska nästintill alla Chrome-användare ha fått frågan om de vill aktivera tekniken, vilken på svenska kallas ”annonsämnen”. I veckans podd diskuterar Peter och Nikka Googles nya påhitt. De konstaterar att Topics API/annonsämnen är mycket mer integritetsvärnande än tredjepartskakor, men Nikka är ändå långt ifrån såld på konceptet. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27846588
info_outline
#211 Alla VPN-tjänster läcker
08/18/2023
#211 Alla VPN-tjänster läcker
Säkerhetsforskare vid New York University har upptäckt en nedslående sårbarhet i världens VPN-tjänster. Sårbarheten som de kallar Tunnelcrack kan få VPN-appar att läcka trafik. Genom att lura besökare att ansluta till ett angriparkontrollerat nätverk kan angripare se vilka webbplatser som besökarna går till även om besökarna tunnlar trafiken via VPN. Tunnelcrack är ingen ny sårbarhet. Rapportförfattarna konstaterar tvärtom att sårbarheten är lika gammal som VPN-tekniken i sig. Sårbarheten har alltså funnits i över 20 år. När rapportförfattarna testade över 60 olika VPN-tjänster visade det sig dessutom att samtliga VPN-tjänster var sårbara. Den populära VPN-tjänsten Torguard (ej relaterad till Tor) var sårbar oavsett operativsystem. Till och med vår rekommenderade VPN-tjänst Mullvad var sårbar, men bara på IOS. I veckans avsnitt av Bli säker-podden förklarar Nikka vad som orsakar sårbarheten, vilka konsekvenser den får och vad användare kan göra åt den. Peter avslutar genomgången med ett förslag på lösning som är den allra enklaste åtgärden: anslut inte till publika wifi-nät. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27787482
info_outline
#210 Android behöver inga nolldagar
08/11/2023
#210 Android behöver inga nolldagar
Google har släppt sin årliga rapport om aktivt utnyttjade nolldagarssårbarheter. En av slutsatserna som Google själva drar är att Android-mobiler inte får säkerhetsuppdateringar tillräckligt snabbt. Rapportförfattarna ställer rent av frågan om huruvida världens Android-angripare behöver dra nytta av några nolldagarssårbarheter. Angriparna kan ju lika gärna utnyttja de väldokumenterade sårbarheterna som inte har blivit åtgärdade än. I veckans avsnitt av Bli säker-podden reflekterar Peter och Nikka om den nedslående rapporten. De djupdyker också i två av rapportens exempel på hur Android-användare har blivit infekterade på grund av mobiltillverkarnas oförmåga att underhålla sina operativsystem och webbläsare. I de två exemplen infekterades alltså inte användarna för att de var sena med att installera några uppdateringar – det fanns inga uppdateringar som användarna kunde installera. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27718869
info_outline
#209 Krypterad hälsning
08/04/2023
#209 Krypterad hälsning
Nuförtiden är nästan all trafik på webben krypterad. Det har minskat behovet av att använda VPN-tjänster vid anslutning till internet från publika wifi-nät, åtminstone ur ett säkerhetsperspektiv. Det förblir lämpligt att använda VPN-tjänster ur ett integritetsperspektiv eftersom viss metadata fortfarande skickas okrypterad och därmed avlyssningsbar. Exempel på sådan metadata är DNS-uppslag och SNI-indikatorer. Ett DNS-uppslag översätter vilken IP-adress som hör ihop med en specifik domän. En SNI-indikator pekar på vilken webbplats som ska besökas ifall flera webbplatser delar på samma IP-adress. Både DNS och SNI avslöjar vilka domäner som besöks. I tidigare poddavsnitt har vi pratat om hur DOH (DNS over HTTPS) kan aktiveras för att kryptera DNS-uppslagen, men det har inte funnits någon gängse lösning för att kryptera SNI-indikatorerna. Det blir det ändring på nu i samband med att Google börjar aktivera funktionen som kallas Encrypted Client Hello. I veckans poddavsnitt förklarar Peter och Nikka varför SNI-indikatorer egentligen behövs och hur Encrypted Client Hello (på sikt) förhindrar att SNI-indikatorerna läcker vilka domäner som besöks. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27655974
info_outline
#208 Framtidens meddelandetjänster
07/27/2023
#208 Framtidens meddelandetjänster
Ett av de största problemen med dagens meddelandetjänster är att de inte fungerar med varandra. Trots att appar såsom Signal, Whatsapp och Google Messages alla använder Signal-protokollet går det ändå inte att kommunicera mellan apparna. Alla användare måste ha samma app. Lösningen på problemet stavas MLS (Messaging Layer Security). Det är en ny protokoll- och arkitekturstandard från IETF som lägger grunden till säker och totalsträckskrypterad kommunikation mellan olika meddelandetjänster. Google, Matrix och Wire är några av organisationerna som redan har tillkännagivit att deras tjänster kommer att stödja MLS, vilket gör att deras användare kommer att kunna kommunicera med varandra över plattformsbarriärerna. I veckans poddavsnitt pratar Peter och Nikka om hur MLS har förutsättningarna för att revolutionera sättet som vi kommunicerar. Med MLS öppnas inte bara nya möjligheter för privatpersoner som vill kunna chatta med alla sina vänner från samma app. MLS kan till och med bli nyckeln som har saknats för att äntligen kunna minimera det osäkra mejlandet mellan organisationer. Se fullständiga shownotes på https://go.nikkasystems.com/podd208.
/episode/index/show/nikkasystems/id/27587217
info_outline
#207 Slut på IP-adresser
07/21/2023
#207 Slut på IP-adresser
Alla enheter som ansluter till internet har en IP-adress. Med dagens version av internet finns totalt 4,3 miljarder sådana IP-adresser. Problemet som uppenbarade sig vid internets stora genombrott var att världen skulle behöva ansluta fler än 4,3 miljarder enheter. Lösningen, en ny version av internets internetprotokoll, uppfanns därför i god tid innan IP-adresserna tog slut. Med nästa generations internetprotokoll (IPv6) finns fler IP-adresser per person än världen delar på totalt på dagens internetprotokoll (IPv4). Tyvärr har övergången till nästa generations internetprotokoll gått långsamt, framförallt i Sverige. I Sverige har vi i stället löst situationen genom att låta flera hushåll dela på samma IP-adress. Detta är problematiskt av flera skäl, vilket Peter och Nikka förklarar i veckans avsnitt av Bli säker-podden. I avsnittet pratar de också om Protons nya molnlagringstjänst, Metas norska böter och Microsofts nya företagsanpassade version av Bing Chat. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27527295
info_outline
#206 Trasiga sociala medier
07/14/2023
#206 Trasiga sociala medier
Under många år tillhörde Twitter och Reddit en speciell typ av sociala medier. Twitter och Reddit tillät en mängd olika tredjepartsappar att interagera med innehållet på plattformarna. Twitter utkristalliserade sig med tiden som ett viktigt verktyg för företag och myndigheter att nå ut med information, framförallt i USA. Under årets första halva förändrades situationen. Både Twitter och Reddit tog bort stödet för tredjepartsappar. Twitter införde tillfälliga inloggningskrav och begränsningar på hur många inlägg som användare fick se per dag om de inte betalade för Twitters premiumtjänst Twitter Blue. Parallellt med införandet av Twitters och Reddits begränsningar har de öppna alternativen Mastodon och Lemmy växt sig starkare. I veckans poddavsnitt pratar Peter och Nikka om huruvida sociala medier såsom Mastodon skulle kunna ta över samhällsrollen som Twitter en gång hade. Nikka förklarar också de nya IT-säkerhetsrelaterade riskerna som Mastodon och andra Activitypub-baserade sociala medier för med sig. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27462861
info_outline
#205 Webbläsar-VPN
07/07/2023
#205 Webbläsar-VPN
På senare tid har flera webbläsare, bland annat Microsoft Edge och Apple Safari, fått inbyggt stöd för VPN-anslutningar. Microsoft och Apple vill låta användare som sitter på osäkra wifi-nätverk tunnla ut sin trafik över säkra, krypterade anslutningar. För att åstadkomma detta har Microsoft börjat rulla ut Edge-funktionen som de kallar ”Säkert nätverk”. Den ger privatanvändare som loggar in med ett kostnadsfritt Microsoft-konto 5 GB månatligt VPN-trafik. Apple kallar sin motsvarighet ”Privat reläservice” och ger prenumeranter på Icloud+ obegränsat med data. Gemensamt för de nämnda tjänsterna är att de saknar stöd för att välja vilket land som trafiken ska tunnlas ut genom. Denna begränsande egenskap delar tjänsterna med Googles VPN-tjänst, vilken Google paketerar som en del av betaltjänsten Google One. Skillnaden mellan Googles VPN-tjänst och de två andra är att Googles tjänst åtminstone tunnlar trafiken från alla appar som körs på datorn eller mobilen. Microsofts och Apples tjänster enbart tunnlar trafiken från tillverkarnas respektive webbläsare. I veckans avsnitt av Bli säker-podden pratar Nikka och Peter om nämnda VPN-tjänster och hur de står sig mot de mer traditionella alternativen såsom Mullvad VPN och Proton VPN. Podduon tittar också in under huven på Microsofts VPN-tjänst där de hittar underleverantörens kostnadsfria VPN-tjänst. Den verkar rent av vara bättre än Microsofts ompaketering. Se fullständiga shownotes på .
/episode/index/show/nikkasystems/id/27396654