I förra veckans poddavsnitt pratade vi bland annat om Nothings bryggtjänst som kopplade ihop Android-mobiler med Apples Imessage-system. Vi summerade situationen med orden ”det här är någonting som ingen bör använda”  Sedan dess har det hänt än hel del. För det första visade sig tjänsten vara ännu värre än vi ursprungligen antog. Utöver den säkerhetsmässigt vidriga principen som lösningen förlitade sig på var Nothings säkerhets- och konfidentialitetsutfästelser rena lögner. Detta avslöjades...

Termen ”doxing” syftar på när någon illvilligt publicerar information om någon annan på nätet. Ett exempel är när konflikter mellan gamers eller youtubers får den ena parten att röja den andra partens bostadsadress. Ur ett svenskt perspektiv kan det låta tämligen harmlöst. Våra svenska bostadsadresser är ju redan offentliga. Internationellt sett är det annorlunda. I veckans poddavsnitt pratar Peter och Nikka om offentliga personuppgifter och hur flera svenska webbplatser utnyttjar ett...

EU vill förändra sättet som säkra anslutningar på internet garanteras. Dagens modell bygger på ett certifikatsystem med signering i flera led. För att en webbläsare ska lita på att webbplatsen som visas är den äkta måste webbplatsen ha ett giltigt certifikat. Det certifikatet måste i sin tur vara signerat av en certifikatutfärdare som webbläsaren eller det underliggande operativsystemet har förtroende för. Certifikatutfärdarna som är betrodda fastläggs av de rotcertifikat som webbläsar- och...

Den här veckan gästas Bli säker-podden av Karl Selin. Han arbetar som senior cybersäkerhetsspecialist vid Cert-SE och NCSC-SE. Cert-SE är Sveriges nationella ”Computer Security Incident Response Team” och är en del av MSB - Myndigheten för samhällsskydd och beredskap. NCSC-SE är Sveriges nationella cybersäkerhetscenter som har uppdraget att ”stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera cyberhot”. I veckans avsnitt förklarar Karl Selin vad Cert-SE och NCSC-SE pysslar...

Det finns flera sätt som användare kan spåras mellan webbplatser på nätet, till exempel spårningskakor, webbläsarinställningar och IP-adresser. Användare som vill förhindra att de spåras via sin IP-adress har fram till nyligen behövt skaffa en VPN-tjänst, men nu börjar allt fler webbläsare få inbyggda VPN-liknande lösningar för att motverka just IP-adressbaserad spårning. Google har börjat experimentera med en funktion som de kallar IP Protection. Funktionen gör att Chrome-användarnas trafik...

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om hur e-postappar bör konfigureras ur ett säkerhetsperspektiv. Till skillnad från dagens webbläsare indikerar nämligen inte e-postapparna lika tydligt när mejl hämtas över osäkra och avlyssningsbara anslutningar. Se fullständiga shownotes på https://go.nikkasystems.com/podd220.

Varje år publicerar Internetstiftelsen Sveriges största rapport om svenskars internetvanor: Svenskarna och internet. Undersökningen omfattar en mängd perspektiv, däribland svenskarnas syn på integritet och säkerhet på nätet. Årets veckofärska undersökning är extra intressant. Den avslöjar att hela 94 % av svenska folket vill ge polisen rätt att ta del av privata meddelanden från brottsmisstänkta personer. I veckans poddavsnitt diskuterar Peter och Nikka vad som ligger bakom den höga siffran....

För tio år sedan gjordes merparten av världens webbplatsbesök över osäkra anslutningar. Tack vare Let’s encrypt-projektet och påtryckningar från webbläsarutvecklarna sker numera nästintill alla webbplatsbesök över säkra anslutningar. På sikt ska samtliga webbanslutningar vara säkra och stora helsidesvarningar kommer att visas ifall ett besök sker över en osäker anslutning.  Möjligheten att aktivera krav på säkra anslutningar finns redan i dagens webbläsare, men kravet är inaktiverat som...

Microsofts plan var en gång i tiden att Windows 10 skulle bli den sista Windows-versionen. I stället för att släppa nya Windows-versioner skulle Microsoft släppa uppdateringar till Windows 10 två gånger per år. Denna underhållsmodell fungerade dåligt i praktiken och Microsoft åtgick till att släppa nya Windows-versioner och att revidera dessa på årlig basis i stället för halvårsvis. För att bibehålla möjligheten att släppa nya funktioner i hög takt lanserade Microsoft ”Moments”. Det är små...

I årtionden har privatpersoner och medarbetare varit rädda för att klicka på länkar som kommit via mejl. Bakgrunden till detta är att det en gång i tiden gick att bli infekterad av att enbart besöka en attackpreparerad webbsida. Den tiden är förbi. Vi har fått säkrare webbläsare med sandlådor och webbplatsisolering. Dessa webbläsare kör vi sin tur på säkrare operativsystem. Vi har därtill gjort oss av med alla webbläsartillägg som tidigare krävdes för att köra exempelvis Java-, Flash- och...

Under den gångna veckan åtgärdades flera aktivt utnyttjade nolldagarssårbarheter, det vill säga sårbarheter som utnyttjades av angripare innan det fanns några åtgärdande säkerhetsuppdateringar. Apple släppte en panikuppdatering till IOS för att täppa till två nolldagarssårbarheter som utnyttjades av en okänd aktör för att infektera Iphone med det ökända spionprogrammet Pegasus. Allt aktören behövde göra var att skicka en specialpreparerad Imessage-bilaga till mobilen som de ville infektera. ...

Förra veckans poddavsnitt handlade om säkra anteckningsappar av det traditionella slaget. Veckans poddavsnitt följer upp med en genomgång av så kallade second brain-anteckningsappar. Det är anteckningsappar som låter dig länka ihop anteckningar, så att helheten av dina anteckningar blir mer givande än alla anteckningar var för sig. Som exempel används den säkra anteckningsappen Obsidian, vilken även löser portabilitetsproblematiken. Genom att spara anteckningarna i individuella råtextfiler...

Vi har alla behov av att anteckna saker i vår vardag. För att göra detta kan vi välja mellan en mängd olika anteckningsappar som låter oss strukturera och synkronisera våra anteckningar. Tyvärr är det långt ifrån alla anteckningsappar som synkroniserar våra anteckningar totalsträckskrypterat. Det är problematiskt med tanke på hur känsliga saker som många av oss skriver i våra anteckningar. Lyckligtvis finns det flera bra, säkra och integritetsvärnande anteckningsappar. I veckans poddavsnitt...

Sättet som vi spåras på nätet är ohållbart i längden. Det vet till och med Google. Dagens tredjepartskakor som låter annonsföretag bygga annonsprofiler om oss är helt enkelt för integritetskränkande. Både Firefox och Brave har sedan länge blockerat alla tredjepartskakor av detta skäl, och snart kommer även Google att låta Chrome göra det. Googles ursprungstanke var att fasa ut stödet för tredjepartskakor lagom till årsskiftet 2021/2022, men de har skjutit upp utfasningen gång på gång. En av...

Säkerhetsforskare vid New York University har upptäckt en nedslående sårbarhet i världens VPN-tjänster. Sårbarheten som de kallar Tunnelcrack kan få VPN-appar att läcka trafik. Genom att lura besökare att ansluta till ett angriparkontrollerat nätverk kan angripare se vilka webbplatser som besökarna går till även om besökarna tunnlar trafiken via VPN. Tunnelcrack är ingen ny sårbarhet. Rapportförfattarna konstaterar tvärtom att sårbarheten är lika gammal som VPN-tekniken i sig. Sårbarheten...

Google har släppt sin årliga rapport om aktivt utnyttjade nolldagarssårbarheter. En av slutsatserna som Google själva drar är att Android-mobiler inte får säkerhetsuppdateringar tillräckligt snabbt. Rapportförfattarna ställer rent av frågan om huruvida världens Android-angripare behöver dra nytta av några nolldagarssårbarheter. Angriparna kan ju lika gärna utnyttja de väldokumenterade sårbarheterna som inte har blivit åtgärdade än. I veckans avsnitt av Bli säker-podden reflekterar Peter och...

Nuförtiden är nästan all trafik på webben krypterad. Det har minskat behovet av att använda VPN-tjänster vid anslutning till internet från publika wifi-nät, åtminstone ur ett säkerhetsperspektiv. Det förblir lämpligt att använda VPN-tjänster ur ett integritetsperspektiv eftersom viss metadata fortfarande skickas okrypterad och därmed avlyssningsbar. Exempel på sådan metadata är DNS-uppslag och SNI-indikatorer. Ett DNS-uppslag översätter vilken IP-adress som hör ihop med en specifik domän. En...

Ett av de största problemen med dagens meddelandetjänster är att de inte fungerar med varandra. Trots att appar såsom Signal, Whatsapp och Google Messages alla använder Signal-protokollet går det ändå inte att kommunicera mellan apparna. Alla användare måste ha samma app. Lösningen på problemet stavas MLS (Messaging Layer Security). Det är en ny protokoll- och arkitekturstandard från IETF som lägger grunden till säker och totalsträckskrypterad kommunikation mellan olika meddelandetjänster....

Alla enheter som ansluter till internet har en IP-adress. Med dagens version av internet finns totalt 4,3 miljarder sådana IP-adresser. Problemet som uppenbarade sig vid internets stora genombrott var att världen skulle behöva ansluta fler än 4,3 miljarder enheter. Lösningen, en ny version av internets internetprotokoll, uppfanns därför i god tid innan IP-adresserna tog slut. Med nästa generations internetprotokoll (IPv6) finns fler IP-adresser per person än världen delar på totalt på dagens...

Under många år tillhörde Twitter och Reddit en speciell typ av sociala medier. Twitter och Reddit tillät en mängd olika tredjepartsappar att interagera med innehållet på plattformarna. Twitter utkristalliserade sig med tiden som ett viktigt verktyg för företag och myndigheter att nå ut med information, framförallt i USA. Under årets första halva förändrades situationen. Både Twitter och Reddit tog bort stödet för tredjepartsappar. Twitter införde tillfälliga inloggningskrav och begränsningar...

På senare tid har flera webbläsare, bland annat Microsoft Edge och Apple Safari, fått inbyggt stöd för VPN-anslutningar. Microsoft och Apple vill låta användare som sitter på osäkra wifi-nätverk tunnla ut sin trafik över säkra, krypterade anslutningar. För att åstadkomma detta har Microsoft börjat rulla ut Edge-funktionen som de kallar ”Säkert nätverk”. Den ger privatanvändare som loggar in med ett kostnadsfritt Microsoft-konto 5 GB månatligt VPN-trafik. Apple kallar sin motsvarighet ”Privat...

Nuförtiden lanseras många tjänster enligt den så kallade Minimum Viable Product-principen. Tjänsterna släppts så tidigt som möjligt för att utvecklarna ska få möjlighet att bygga klart tjänsterna baserat på användarnas feedback. Fördelen med lanseringsprincipen är att utvecklarna blir medvetna om var de ska lägga fokus. Nackdelen med lanseringsprincipen är att produkterna är långt ifrån konkurrenskraftiga vid lansering. I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om just...

ChatGPT och liknande generativa text-AI-verktyg har börjat underlätta våra jobb. Aftonbladet och Expressen drar nytta av ChatGPT för att skapa kortfattade summeringar av långa artiklar. Nyhetsappen Readwise har en inbyggd ”spökläsare” som automatiskt sammanfattar artiklarna som användarna sparar. Detta är exempel på situationer då ChatGPT både briljerar och kan användas riskfritt. Så är dock inte alltid fallet. Flera av de amerikanska storbankerna har förbjudit sina medarbetare att använda...

Webbläsaren Brave har på senare år seglat upp som en favorit­webbläsare bland säkerhets- och integritets­värnande användare. Brave-utvecklarna har baserat sin webbläsare på den branschledande Chromium-grunden och ersatt de Google-specifika anpassningarna med sina egna motsvarigheter. Brave-webbläsaren innehåller dessutom en mycket kompetent innehålls­blockerare som motverkar spårning och laddning av integritets­kränkande annonser. I Bli säker-podden har vi vid flera tillfällen pratat om...

I måndags började Apples årliga utvecklarkonferens WWDC. I vanlig ordning presenterade Apple flera säkerhets- och integritetsförbättringar för IOS och Mac OS. Dessa förbättringar hamnade lite i skymundan av att Apple samtidigt avslöjade sin senaste storsatsning ”Apple Vision Pro” och deras intåg i VR-glasögonsvärlden. I veckans avsnitt av Bli säker-podden går Nikka och Peter igenom höjdpunkterna från konferensen – både när det gäller Apples väletablerade operativsystem och Apples helt nya...