Framfarten för lösennycklar (passkeys) fortsätter. Listan över webbplatser som erbjuder inloggning med lösennycklar växer. Lösenordshanterarna 1password, Proton Pass och Bitwarden kan allihop skapa, använda och synkronisera lösennycklar. Andelen användare som har börjat använda lösennycklar kryper allt närmare den magiska 50 %-gränsen. Mitt i all framgång väcks det samtidigt kritiska röster. Inkonsekvent funktionalitet och förvirrande användargränssnitt sätter käppar i hjulen för anammandet. I v...
May 03, 2024•34 min•Season 1Ep. 247
Veckans poddavsnitt bjuder på stora nyheter. Från och med den här veckan publiceras Bli säker-podden av Nikka Systems och SSF Stöldskyddsföreningen. Stöldskyddsföreningen är en helt oberoende organisation som drivs utan vinstsyfte. De ligger bakom webbplatsen Säkerhetskollen som samlar tips, råd och varningar i syfte att stärka IT-säkerheten bland Sveriges privatpersoner och medarbetare. I veckans poddavsnitt berättar Per Klingvall, rådgivningschef på Stöldskyddsföreningen, om Säkerhetskollen oc...
Apr 26, 2024•36 min•Season 1Ep. 246
Microsoft stöper om grunden för sin trotjänare Outlook. Nu ska Outlook bli enhetligt. Webbversionen, Windows-versionen och Mac OS-versionen av Outlook ska förenas till en enda app. Den appen, internt benämnd Project Monarch, ska också ersätta de Windows-inbyggda apparna “E-post” och “Kalender”. Den nya versionen av Outlook kallas kort och gott “Nya Outlook”. Till skillnad från föregångarna är Nya Outlook i själva verket en webbapp som paketeras om för skrivbordsdatorer. Nya Outlook är dessutom h...
Apr 19, 2024•38 min•Season 1Ep. 245
I förrförra veckans avsnitt av Bli säker-podden pratade vi om hur Facebooks annonsgranskare ansåg att hundratals bluffannonser var förenliga med deras annonsregler. Den här veckan avslöjar vi att problemet sträcker sig ännu längre. Resultatet är nämligen detsamma när vi anmäler skadeprogramsspridande annonser. Facebooks annonsgranskare avslår såväl anmälan som överklagan. Gemensamt för många av de skadeprogramsspridande annonserna är att de låtsas erbjuda någon typ av AI-app. Annonserna anspelar...
Apr 12, 2024•34 min•Season 1Ep. 244
I veckan avslöjade Säpo att kinesiska Judgement Panda (även kallade APT 31) hade utnyttjat svenska privatpersoners routrar för att spionera och utföra cyberattacker. Avslöjandet kom i samband med att USA väckte åtal mot sju statsanställda vid Kinas ministerium för statssäkerhet. Ryssland har också visat intresse för privatpersoners routrar. Fancy Bear (även kallade APT 28), som har kopplingar till ryska underrättelsetjänsten GRU, infekterade tusentals routrar över hela världen i syfte att bygga ...
Apr 05, 2024•39 min•Season 1Ep. 243
Problemet med bluffannonser på Facebook tar inte slut. Bedragare fortsätter att utnyttja svenska kändisar i annonser för investeringsbedrägerier. Annonserna leder ofta till klonade versioner av populära nyhetssajter. Ibland står till och med den riktiga nyhetssajtens domän i annonsens länktext trots att annonsen i själva verket leder till en falsk webbplatskopia på en helt annan domän. Förra veckan lämnade över 500 personer in en stämningsansökan mot Facebook Sweden på grund av att Facebook inte...
Mar 29, 2024•36 min•Season 1Ep. 242
Medborgares fria tillgång till oberoende information hotar makten i totalitära stater. Länder såsom Kina, Ryssland, Egypten, Saudiarabien och Pakistan nöjer sig därför inte längre med att censurera internet. De försöker också blockera medborgarnas möjligheter att komma åt det fria internet via VPN-tjänster eller via Tor-nätverket. Säkerhets- och integritetsfokuserade VPN-tjänster, till exempel Mullvad VPN och Proton VPN, har vidtagit motåtgärder. De har bland annat implementerat lösningar som få...
Mar 22, 2024•35 min•Season 1Ep. 241
Hur länge kan en mobil förväntas förses med säkerhetsuppdateringar? Under smartphone-erans första decennium hade Apple och Android-mobiltillverkarna vitt skilda åsikter kring sitt underhållsansvar. Än idag anser många Android-mobiltillverkare att deras mobiler bara ska hålla i något enstaka år. Till och med annars välrenommerade mobiltillverkare som Motorola anser att två år från lanseringsdatum är skälig livslängd på en mobil. Det är förvånande eftersom två år är kortare tid än den lagstadgade ...
Mar 15, 2024•37 min•Season 1Ep. 240
De senaste veckorna har många svenska organisationer drabbats av driftstörningar till följd av IT-attacker. Dessa attacker har varit av varierande slag och av olika allvarlighetsgrad. I ena änden av allvarlighetsskalan ligger dubbelutpressningsattacker. Det är den typ av attack som bland annat Kalmar kommun och Sophiahemmet har fallit offer för. Vid en dubbelutpressningsattack passar angriparna på att både stjäla och utpressningskryptera filer. I andra änden av allvarlighetsskalan ligger överbel...
Mar 08, 2024•37 min•Season 1Ep. 239
Världens meddelandetjänster blir allt bättre. Sedan några år tillbaka stödjer alla meddelandetjänster värda namnet totalsträckskryptering (end-to-end-kryptering). Det gör att ingen annan än konversationsparterna kan läsa meddelandena. I fjol förbättrade meddelandeappen Signal det underliggande protokollet så att meddelandena som vi skickar idag förbli säkra dagen då effektiva kvantdatorer blir verklighet. Den här veckan följde Apple i Signals fotspår när de lanserade en kvantsäker och förbättrad...
Feb 23, 2024•36 min•Season 1Ep. 238
Windows har en inbyggd krypteringsfunktion som kallas Bitlocker. Den förhindrar att tjuvar som stjäl datorer kommer åt filerna som ligger sparade på datorerna. Tjuvarna kan på sin höjd rensa datorerna och sälja dem som stöldgods. Detta är åtminstone tanken med Bitlocker. Tyvärr har säkerhetsforskaren Stacksmashing visat att flera Windows-datorer har en brist som sätter Bitlocker-skyddet ur spel. Bristen gör att resursstarka hotaktörer kan läsa filerna på Bitlocker-skyddade datorer. I veckans pod...
Feb 16, 2024•37 min•Season 1Ep. 237
Akira-attackerna mot Sverige duggar tätt. I tisdags drabbades det senaste kända offret: Kalmar kommun. Kalmars kommunikationschef, Nico Werge, höll kommuninvånarna underrättade med frekventa lägesuppdateringar. Han kallade också till presskonferens redan samma eftermiddag. På presskonferensen presenterade kommunstyrelsens ordförande, Johan Persson, en intressant siffra. Han sade att kommunens system utsattes för cirka 70 miljoner attacker under 2023. I veckans avsnitt av Bli säker-podden fundera...
Feb 09, 2024•32 min•Season 1Ep. 236
Det händer mycket på Iphone-fronten. Den senaste IOS-uppdateringen (IOS 17.3) lade till en funktion som gör det svårare för tjuvar att stänga av Iphones stöldskydd. Samma funktion åtgärdar också en designmiss som Iphone har dragits med sedan lanseringen av Icloud. I mars släpper Apple IOS 17.4, vilket blir smått revolutionerande för oss i Europa. Den IOS-uppdateringen lägger nämligen både till stöd för alternativa appbutiker och tillåter webbläsarutvecklare att släppa IOS-webbläsare som är mer ä...
Feb 02, 2024•37 min•Season 1Ep. 235
Konsekvenserna av utpressningsattacken mot IT-tjänsteleverantören Tietoevry har märkts tydligt runt omkring i samhället. Kontantfria verksamheter kunde plötsligt inte ta betalt. Detaljhandelskedjan Granngården fick rent av hålla sina butiker stängda i över tre dagar. Webbplatserna för Rusta och Stadium gick ner och de ligger fortfarande nere sex dagar efter attacken. Värst av alla drabbades Vellinge kommun. Utöver att deras webbplats slogs ut påverkades deras interna system. Under onsdagen blev ...
Jan 26, 2024•39 min•Season 1Ep. 234
Många av dagens lösenordshanterare har inbyggt stöd för att generera engångskoderna som behövs vid inloggning på konton som skyddas med tvåfaktorsautentisering. Bitwarden, 1password, Proton Pass och Icloud-nyckelringen är exempel på lösenordshanterare med sådant stöd. Integrerat stöd för att spara tvåfaktorsautentiseringshemligheter och generera engångskoder förenklar inloggningsprocessen. Stödet ersätter dock inte fristående tvåfaktorsautentiseringsappar helt och hållet. Någon app måste ju gene...
Jan 19, 2024•38 min•Season 1Ep. 233
Authy har länge varit en favorit bland tvåfaktorsautentiseringsappar. Authy har låtit användarna synkronisera sina tvåfaktorsautentiseringshemligheter totalsträckskrypterat mellan enheter och mellan olika operativsystem. Appen har dessutom varit både reklamfri och kostnadsfri. Nu meddelar Twilio, företaget som driver Authy, att de framåt sommaren lägger ned stödet för Windows, Mac OS och Linux. De vill i stället satsa helhjärtat på IOS- och Android-versionerna. Lyckligtvis sammanfaller Authys st...
Jan 12, 2024•38 min•Season 1Ep. 232
Ett nytt år är kommet. Det inleds traditionsenligt med ett poddavsnitt om vad som stundar ur ett IT-säkerhets- och integritetsperspektiv. Peter och Nikka sneglar på kalendern och tittar in i spåkulan för att servera fem profetior för IT-säkerhetsåret 2024. Se fullständiga shownotes på https://go.nikkasystems.com/podd231.
Jan 05, 2024•35 min•Season 1Ep. 231
2023 går mot sitt slut. Årets sista poddavsnitt dedikeras traditionsenligt till att följa upp profetiorna som myntades vid årets start. Slog passkeys igenom? Reste sig Firefox ur elden? Blev det problem med push-notiser på IOS? Blev Bing Bra? Skedde det några framsteg över Atlanten? Se fullständiga shownotes på https://go.nikkasystems.com/podd230 .
Dec 29, 2023•33 min•Season 1Ep. 230
Nu har Meta lanserat sin Twitter-kopia ”Threads” i Europa. Förra veckan tillkännagav Metas grundare Mark Zuckerberg att de dessutom har påbörjat integrationen med Activitypub-nätverket. I sann Meta-anda har de dock gjort det enkelriktat: det går att följa utvalda Threads-profiler från Activitypub-baserade Mastodon, men det finns inga Mastodon-profiler som går att följa från Threads. I veckans poddavsnitt pratar Peter och Nikka om de senaste veckornas nyheter kring X (Twitter) och dess kloner. Po...
Dec 22, 2023•37 min•Season 1Ep. 229
I början av december avslöjade den amerikanska senatorn Ron Wyden att Apple och Google lämnade ut information om användarnas push-notiser. Detta gjorde de två IT-jättarna utan att informera de berörda användarna. I en kommentar till Reuters meddelade Apple att federala myndigheter hade förbjudit dem att offentliggöra utlämnandet. Sättet som push-notiser skickas gör avlyssningen extra allvarlig. Nästintill alla push-notiser som går till IOS- och Android-mobiler skickas nämligen via Apples respekt...
Dec 15, 2023•35 min•Season 1Ep. 228
Digitalt distribuerade filmer och böcker kopieringsskyddas ofta med någon typ av DRM (Digital Rights Management). Kunder som köper DRM-skyddade filer kan inte dra nytta av sin lagstadgade rätt att privatkopiera dessa (notera ”privatkopiera”, inte ”piratkopiera”). Kunderna kan också fråntas sin möjlighet att spela upp filmerna eller läsa böckerna. Fram till 2021 sålde Sony både filmer och TV-serier via Playstation Store. Nu står det dock klart att kunder som ”köpte” filmer och TV-serier därigenom...
Dec 08, 2023•37 min•Season 1Ep. 227
Dagens telefonisystem är trasigt. På grund av mobiloperatörernas oförmåga att ta itu med gamla kvarlevor kan bedragare skicka SMS som står att kommer från banken och ringa från det lokala bankkontorets telefonnummer (så kallad spoofing). I november presenterade mobiloperatörerna och PTS varsin åtgärd för att begränsa problemen. Mobiloperatörerna lanserade ett nytt kortnummer som medborgare kan rapportera misstänkta SMS till. SMS som vidarebefordras till kortnummer 7726 går till alla mobiloperatö...
Dec 01, 2023•36 min•Season 1Ep. 226
I förra veckans poddavsnitt pratade vi bland annat om Nothings bryggtjänst som kopplade ihop Android-mobiler med Apples Imessage-system. Vi summerade situationen med orden ”det här är någonting som ingen bör använda” Sedan dess har det hänt än hel del. För det första visade sig tjänsten vara ännu värre än vi ursprungligen antog. Utöver den säkerhetsmässigt vidriga principen som lösningen förlitade sig på var Nothings säkerhets- och konfidentialitetsutfästelser rena lögner. Detta avslöjades av tr...
Nov 24, 2023•37 min•Season 1Ep. 225
Termen ”doxing” syftar på när någon illvilligt publicerar information om någon annan på nätet. Ett exempel är när konflikter mellan gamers eller youtubers får den ena parten att röja den andra partens bostadsadress. Ur ett svenskt perspektiv kan det låta tämligen harmlöst. Våra svenska bostadsadresser är ju redan offentliga. Internationellt sett är det annorlunda. I veckans poddavsnitt pratar Peter och Nikka om offentliga personuppgifter och hur flera svenska webbplatser utnyttjar ett undantag i...
Nov 17, 2023•33 min•Season 1Ep. 224
EU vill förändra sättet som säkra anslutningar på internet garanteras. Dagens modell bygger på ett certifikatsystem med signering i flera led. För att en webbläsare ska lita på att webbplatsen som visas är den äkta måste webbplatsen ha ett giltigt certifikat. Det certifikatet måste i sin tur vara signerat av en certifikatutfärdare som webbläsaren eller det underliggande operativsystemet har förtroende för. Certifikatutfärdarna som är betrodda fastläggs av de rotcertifikat som webbläsar- och oper...
Nov 10, 2023•34 min•Season 1Ep. 223
Den här veckan gästas Bli säker-podden av Karl Selin. Han arbetar som senior cybersäkerhetsspecialist vid Cert-SE och NCSC-SE. Cert-SE är Sveriges nationella ”Computer Security Incident Response Team” och är en del av MSB - Myndigheten för samhällsskydd och beredskap. NCSC-SE är Sveriges nationella cybersäkerhetscenter som har uppdraget att ”stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera cyberhot”. I veckans avsnitt förklarar Karl Selin vad Cert-SE och NCSC-SE pysslar med om...
Nov 03, 2023•33 min•Season 1Ep. 222
Det finns flera sätt som användare kan spåras mellan webbplatser på nätet, till exempel spårningskakor, webbläsarinställningar och IP-adresser. Användare som vill förhindra att de spåras via sin IP-adress har fram till nyligen behövt skaffa en VPN-tjänst, men nu börjar allt fler webbläsare få inbyggda VPN-liknande lösningar för att motverka just IP-adressbaserad spårning. Google har börjat experimentera med en funktion som de kallar IP Protection. Funktionen gör att Chrome-användarnas trafik tun...
Oct 27, 2023•37 min•Season 1Ep. 221
I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur e-postappar bör konfigureras ur ett säkerhetsperspektiv. Till skillnad från dagens webbläsare indikerar nämligen inte e-postapparna lika tydligt när mejl hämtas över osäkra och avlyssningsbara anslutningar. Se fullständiga shownotes på https://go.nikkasystems.com/podd220 .
Oct 20, 2023•33 min•Season 1Ep. 220
Varje år publicerar Internetstiftelsen Sveriges största rapport om svenskars internetvanor: Svenskarna och internet. Undersökningen omfattar en mängd perspektiv, däribland svenskarnas syn på integritet och säkerhet på nätet. Årets veckofärska undersökning är extra intressant. Den avslöjar att hela 94 % av svenska folket vill ge polisen rätt att ta del av privata meddelanden från brottsmisstänkta personer. I veckans poddavsnitt diskuterar Peter och Nikka vad som ligger bakom den höga siffran. De ...
Oct 13, 2023•36 min•Season 1Ep. 219
För tio år sedan gjordes merparten av världens webbplatsbesök över osäkra anslutningar. Tack vare Let’s encrypt-projektet och påtryckningar från webbläsarutvecklarna sker numera nästintill alla webbplatsbesök över säkra anslutningar. På sikt ska samtliga webbanslutningar vara säkra och stora helsidesvarningar kommer att visas ifall ett besök sker över en osäker anslutning. Möjligheten att aktivera krav på säkra anslutningar finns redan i dagens webbläsare, men kravet är inaktiverat som standard....
Oct 06, 2023•31 min•Season 1Ep. 218
