App Store

Google Play

DK - Details page - Device banner - 894x1036

Nyd den ubegrænsede adgang til tusindvis af spændende e- og lydbøger - helt gratis

Lyt når som helst, hvor som helst 

Nikka Systems och SSF Stöldskyddsföreningen


“Bli säker” är podden som gör dig lite säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor.


Podden produceras av Nikka Systems och SSF Stöldskyddsföreningen. Avsnitten publiceras under CC BY 4.0-licens.


Bli säker-podden

Tjänsteleverantören Miljödata levererar tjänster till cirka 80 procent av Sveriges kommuner och regioner. Den 23:e augusti drabbades Miljödata av ett dataintrång. Angriparna stal bland annat över en miljon svenskars personuppgifter.

I lördags meddelade utpressarna att de tänkte läcka den stulna datan om de inte fick betalt. Natten mot söndag gjorde de verklighet av hotet. Utpressarna publicerade ett arkiv med över hundra organisationers nuvarande och före detta medarbetares personuppgifter.

Veckans podd inleds med en genomgång av Miljödata-läckan och dess konsekvenser. Därefter gästas podden av David Olgart och Mette Svensson från Cybercampus – en nationell satsning för samarbete mellan svenska universitet, institut, myndigheter och företag. David och Mette berättar hur Cybercampus ska öka höja landets cybersäkerhet, försvarsförmåga och konkurrenskraft.

Se fullständiga shownotes på https://go.nikkasystems.com/podd318.

#318 Miljödata-läckan och Cybercampus

I somras förfärades svenska Facebook-användare över ett sorgligt inlägg. En svensk nyhetssajt hade publicerat en bild på den rödgråtna sjuksköterskan Inês. Hon berättade om hur hon under dagen hade följt två patienter till slutet av deras liv, hållit om en mamma som förlorat sin son och tvättat håret på en äldre kvinna.

Inês fanns där för andra, men ingen fanns där för Inês. Ingen frågade henne hur hon mådde. Allt hon önskade var att någon hälsade till henne.

Svenska sjuksköterskor gör en fantastisk insats. Jobbet som de gör är lovvärt och bör uppmärksammas. Problemet med just sjuksköterskan Inês är att hon inte existerar. Historien är påhittad och bilden på den rödgråtna sjuksköterskan är AI-genererad. Den svenska nyhetssajten är ingen riktig nyhetssajt. Det är en annonsspäckad sajt fylld med AI-genererade artiklar.

Svenska Källkritikbyrån uppmärksammade artikeln. Författaren och frilansjournalisten Jonathan Lundberg började undersöka vilka som låg bakom och upptäckte en helt ny bransch med en beklämmande affärsmodell.

I veckans avsnitt av Bli säker-podden berättar Jonathan om sina upptäckter och om affärsmodellen bakom AI-nyhetssajterna. Han berättar också avslutningsvis om sin senaste bok där han har djupdykt i ett av världens största internetmysterier genom tiderna: Cicada 3301.

Se fullständiga shownotes på https://go.nikkasystems.com/podd317.

#317 Källkritikbyrån avslöjar fake news-fabriker

Lösenordshanterarna Bitwarden och Proton Pass kan inte bara spara lösenord. De kan också generera de sexsiffriga engångskoderna som behövs för att logga in på konton som skyddas med tvåfaktorsautentisering.

Trots att lösenordshanterarna har detta som en inbyggd funktion har både Bitwarden och Proton valt att därutöver släppa egna autentiseringsappar. Dessa appar konkurrerar med exempelvis Google Authenticator, Microsoft Authenticator, Ente och Authy.

Även om lösenordshanterarna kan generera engångskoder finns det ett specifikt konto som alltid behöver en dedikerad autentiseringsapp: kontot för själva lösenordshanteraren. Engångskoden för lösenordshanterarkontot kan inte genereras av lösenordshanteraren själv eftersom det hade lett till ett moment 22. (För att logga in i lösenordshanteraren måste användaren ha den rätta engångskoden. För att generera den rätta engångskoden måste användaren logga in i lösenordshanteraren.)

I veckans podd pratar Peter och Nikka om lösenordshanterarnas egna autentiseringsappar. Nikka är framför allt imponerad över Protons nya autentiseringsapp som synkroniserar hemligheterna mellan alla enheter utan att vara låst till någon operativsystemstillverkares ekosystem. I Nikkas mening utmanar Proton Authenticator den sedan tidigare rekommenderade Ente Auth-appen.

Se fullständiga shownotes på https://go.nikkasystems.com/podd316.

#316 Lösenordshanterarnas egna autentiseringsappar

Falska butiksutförsäljningar är ingen nyhet. Påhittade påståenden om att butiker upphör och rear ut lagret har alltid förekommit. Trots det handlar veckans huvudämne i Bli säker-podden om just falska butiksutförsäljningar.

SSF Stöldskyddsföreningen har noterat omfattande och samordnade annonskampanjer som marknadsför lokala, familjeägda butiker runtom i landet. På grund av allt från hjärtskärande skilsmässor till orättvis konkurrens från internationella storföretag påstår butikerna att de tvingas slå igen dörrarna. Butikerna anordnar därför utförsäljningar med enorma rabatter.

Alltihop är bluff. Bilderna på butikerna är AI-genererade. Butiksadresserna är antingen fiktiva eller icke-existerande. Originalpriserna är påhittade och produkterna skickas inte från någon liten butik i Sverige. De skickas direkt från asiatiska tillverkare.

I veckans poddavsnitt pratar Peter och Nikka om kännetecknen som avslöjar de falska butikerna. Podduon pratar också om en sårbarhet i lösenordshanterare som avslöjades på årets Defcon-konferens. Nikka tonar ned allvaret men förklarar varför han ändå rekommenderar att ändra två av standardinställningarna i lösenordshanteraren Bitwarden.

Se fullständiga shownotes på https://go.nikkasystems.com/podd315.

#315 Falska familjebutiker försvinner

I fjol utsåg Elektronikbranschen den så kallade AI-datorn till Årets pryl. Elektronikbranschen skrev att ”AI-datorn med sin nya teknik förenklar vardagen genom att göra avancerad funktionalitet tillgänglig och lättanvänd för alla”. Det faktiska tillämpningsområdet för AI-datorer har än så länge varit något begränsat, men det finns en situation då de AI-processorutrustade datorerna briljerar: möjligheten att dra nytta av AI utan att skicka data till molntjänster.

I förra veckans poddavsnitt pratade Peter och Nikka om skillnaden mellan den molnbaserade och den lokala versionen av AI-modellen Deepseek. I veckans poddavsnitt följer de upp med en genomgång av den stora fördelen med att köra AI-modeller lokalt. Då minimeras risken för att den behandlade datan läcker.

Nikka lyfter också två nya exempel på relaterade situationer då lokala AI-lösningar stärker säkerheten. Windows-versionen av Microsoft Edge har precis fått en ny funktion som med hjälp av lokal AI varnar för scareware, till exempel annonser som påstår att datorn har blivit infekterad.

Google håller också på att rulla ut en ny Android-app vid namn Android System Safety Core. Den appen använder lokal AI för att blockera spam-meddelanden och hindra barn från att skicka nakenbilder på sig själva.

De nya AI-funktionerna i Microsoft Edge och Android kräver inte processorer med dedikerade AI-kärnor. Det gör däremot mer resurskrävande AI-verktyg, såsom Protons skrivassistent. Nikka konstaterar därför att utnämnandet av AI-datorn som Årets pryl 2024 kan ha legat helt rätt i tiden. Molntjänster må vara kraftfullare än kontorsdatorer, men ingenting skyddar datan lika väl som när den behandlas lokalt på lilla, trygga datorn.

Se fullständiga shownotes på https://go.nikkasystems.com/podd287.

#287 Säker AI på lilla trygga datorn

Under sommaren har svenska polisen, vid upprepade tillfällen, utmålat den säkra meddelandeappen Signal som en app enbart kriminella använder.

I fredags medverkade rikspolischef Petra Lundh i SVT:s morgonprogram. Programledaren frågade henne vad föräldrar borde göra om deras barn använde Signal. Lundh förklarade att föräldrar borde bli väldigt oroliga eftersom det enligt henne inte finns något ”normalt användningsområde för den appen”.

Uttalandet är det senaste i en rad av uttalanden där polisen påverkar folkets syn på Signal. Dessa uttalanden har duggat tätt under sommaren. I juli påstod Teodor Smedius, polisintendent vid NOA, att föräldrar som hittade Signal på barnens mobiler skulle bli lika oroliga som om de hade hittat narkotika i barnens väskor. I juni uppmanade Polisen föräldrar att ”ta bort [appen] omgående” från barnens mobiler.

I veckans poddavsnitt diskuterar Peter och Nikka polisens uttalanden. Nikka förklarar också varför han anser att det är vilseledande när polisen försöker få debatten om totalsträckskrypterade meddelandetjänster att fokusera på integritetsaspekten. Bevarandet av mänskliga rättigheter är självfallet viktigt, men den amerikanska cybersäkerhetsmyndigheten rekommenderar inte befolkningen att använda Signal för att myndigheten värnar om folkets personliga integritet. Myndigheten gör det för att privat kommunikation är avgörande för samhällets säkerhet.

Samma sak gäller svenska Försvarsmakten som uttryckligen varnar för konsekvenserna av bakdörrarna som polisen efterfrågar.

Se fullständiga shownotes på https://go.nikkasystems.com/podd314.

#314 Inget normalt användningsområde

Under sommaren har SSF Stöldskyddsföreningen granskat problemet med bluffhårddiskar på svenska marknadsplatser. Bli säker-podden har i två tidigare avsnitt behandlat grundproblemet kring falska lagringsenheter och följt upp hur marknadsplatsen Fyndiq hanterat avslöjandet.

I veckans podd redogör Peter och Nikka för hur den internationella jätten Amazon har hanterat situationen. Inledningsvis svarade Amazons pressavdelning att de ”agerar snabbt när de upptäcker att något har undgått Amazons kontroller”. Det påståendet stämmer inte överens med resultatet av SSF:s granskning.

När Cdon (som äger Fyndiq) förstod allvaret i situationen valde de att kontakta kunderna som hade köpt bluffhårddiskar. Fyndiq uppmanade kunderna att omedelbart sluta använda hårddiskarna för att förhoppningsvis hinna varna kunderna innan de förlorade filer. Fyndiq betalade också tillbaka pengarna.

I tisdags förra veckan fick Amazons pressavdelning samma fråga om hur de tänkte lösa situationen. Nikka frågade om Amazon tänkte kontakta alla berörda kunder och betala tillbaka pengarna.

Trots upprepade kontaktförsök och svar på andra frågor har Amazons pressavdelning valt att inte svara på frågan om huruvida de tänker kontakta de berörda kunderna.

Se fullständiga shownotes på https://go.nikkasystems.com/podd313.

#313 Amazons hantering av kunder som köpt bluffhårddiskar

Veckans podd handlar om den absurda situationen som just nu utspelar sig i vårt grannland Norge.

Tidigare i år gick IOT-tillverkaren Futurehome i konkurs. Enligt bolaget var deras smarta hem-lösning installerad i 38 000 norska hushåll. Lyckligtvis var Futurehomes centrala styrenhet inte beroende av någon molntjänst. Det gjorde att kundernas smarta hem-lösningar fortsatte fungera.

Bolaget återuppstod med de gamla ägarna som delägare. Det nya bolaget lanserade en prenumerationsmodell för att kunna finansiera verksamheten långsiktigt. De skickade också ut en automatisk uppdatering till de sålda styrenheterna. Den uppdateringen stängde av befintliga funktioner och meddelade ägarna att de behövde teckna sig för den nya prenumerationstjänsten (1188 kr/år) om de ville återfå funktionerna.

I en intervju med den norska tekniksajten Tek.no berättade kunder som hade investerat tusentals kronor i systemet om hur de kände sig utpressade av Futurehomes nya ägare.

Kundernas upprördhet fick internationell uppmärksamhet när konsumenträttsaktivisten Louis Rossmann nåddes av nyheten. Han utlovade direkt en belöning på 5 000 dollar till personen som lyckades låsa upp Futurehomes styrenhet. Futurehomes VD svarade med en varning om att det skulle räknas som olaglig hacking.

I veckans podd pratar Peter och Nikka om turerna kring Futurehome. Peter frågar sig vad det egentligen innebär att äga en Futurehome-produkt. Nikka frågar vad hela situationen egentligen påminner mest om: en aktör som har låst ned ett system och kräver en lösensumma för att återställa funktionaliteten. I datorvärlden kallas det en ransomware-attack.

Se fullständiga shownotes på https://go.nikkasystems.com/podd312.

#312 När tillverkaren är utpressaren

Den 25:e juli införde Storbritannien sin så kallade Online Safety Act. Den nya lagen är tänkt att skydda barn mot webbinnehåll som berör självmord, självskadebeteende, ätstörningar och pornografi. Webbplatser med sådant innehåll måste nu ålderverifiera brittiska besökare, så att enbart personer över 18 år kommer åt innehållet.

Medan EU arbetar på en (förhållandevis) säker och integritetsvärnande åldersverifieringslösning har Storbritannien valt att införa krav på åldersverifiering utan att någon sådan teknik finns på plats.

Resultatet blev att sajter såsom Discord, Reddit, Bluesky och Spotify ber brittiska användare ladda upp bilder på sig själva, ibland i kombination med giltiga ID-handlingar. Aylo (en av världens största leverantörer av porrsajter) tvingar brittiska användare att skapa användarkonton och att ålderverifiera sig via exempelvis betalkort, mobiloperatör eller bankdata.

Lagen trädde i kraft samma vecka som den amerikanska dejtingappen Tea råkade ut för ett omfattande dataintrång. Appen marknadsfördes som ett verktyg för kvinnor som ville dejta säkert, och appen var enbart öppen för kvinnliga användare. Under registreringsprocessen fick kvinnorna därför ladda upp bilder på sig själva och sina ID-handlingar. Tjänsteleverantören lovade att bilderna skulle raderas omedelbart. I själva verket sparades bilderna på en publikt exponerad server som angripare kunde ladda ned alla bilder från.

Att ladda upp bilder på ID-handlingar är olämpligt av många skäl, något många britter verkar ha insett. Dagen då Online Safety Act trädde i kraft noterade VPN-tjänsteleverantören Proton en ökning på 1 400 % av nya användare från Storbritannien. På måndagsmorgonen hade hälften av tio-topp-apparna på Apples gratistopplista blivit VPN-appar.

I veckans poddavsnitt pratar Peter och Nikka om problemen med Storbritanniens nya lag. Frågan är vilken effekt som lagen får ifall alla britter skaffar VPN-tjänster för att tunnla ut sin trafik från ”The great firewall of Brittain”. Podduon diskuterar också två av de senaste veckornas dataläckor, däribland Tea-dataläckan.

Se fullständiga shownotes på https://go.nikkasystems.com/podd311.

#311 Spilla te och bygga censurmurar

Den här veckan gästas Bli säker-podden av penetrationstestaren Linus Kvarnhammar. Linus har gästat podden en gång tidigare då han utgjorde en fjärdedel av kvartetten i SVT:s programserie Hackad från 2021. Förra gången som han besökte podden berättade han om produktionen av programserien. Nu återvänder han i ett helt annat ärende.

Som senior cybersäkerhetskonsult har Linus noterat ett stort problem. När han upptäcker sårbarheter behöver han ett enkelt sätt att underrätta alla berörda organisationer. Det har visat sig vara lättare sagt än gjort. Alltför få organisationer har anammat standarden security.txt som klart och tydligt instruerar hur säkerhetsforskare kan få kontakt med organisationernas säkerhetsavdelningar.

I veckans podd förklarar Linus hur en simpel textfil gör att företag, helt kostnadsfritt, kan få kostnadsfria varningar från penetrationstestare.

Veckans avsnitt bjuder också på mer information om den massiva bedrägerikampanjen som pågår för stunden och som utnyttjar programledarna från Uppdrag Granskning. Nikka passar även på att bemöta påståendena ur en uppmärksammad artikel om påstådda nätfiskeattacker mot nätfiskeresistenta nycklar (passkeys).

Se fullständiga shownotes på https://go.nikkasystems.com/podd310.

#310 Gratisvarningar från etiska hackare

Förra helgen lyckades bluffmakare skicka ut tusentals mejl som påstod att mottagarnas organisationer hade drabbats av allvarliga dataintrång. Mejlen såg ut att komma från amerikanska FBI, och vid en närmare granskning visade det sig att mejlen faktiskt också gjorde det. Angriparna hade hittat en sårbarhet i en av FBI:s webbtjänster som lät angriparna skicka mejl från den amerikanska myndighetens servrar. I veckans podd pratar Tess och Nikka om hur det hela gick till och vilka metoder som angripare vanligtvis använder vid utskick av bluff- och nätfiskemejl.
 
Se fullständiga shownotes på https://go.nikkasystems.com/podd143.

#143 Äkta bluffmejl från FBI

Lyt når som helst, hvor som helst

Other podcasts you might like ...