Frivilliga Radioorganisationen

Cert.se rapporterar att iPhone med iOS 12.1 eller senare har en bugg som gör att man via Facetime kan avlyssna. Buggen har funnits under lång tid, men uppmärksammades nyligen. Apple planerar att komma med en mjukvaruuppdatering. Som en work-around så har man stängt av möjligheten till gruppsamtal via Facetime. Enligt uppgift kan dock problemen finnas kvar även efter denna ändring. Vill man därför ta egna mått och steg så går det utmärkt att avaktivera Facetime genom att avaktivera kontot i Inställningar -> Facetime.

Läs mer här. 

En gång per år hålls en stor konferens som handlar om "informationssäkerhet för offentlig sektor" så även 2018. Det är också namnet på konferensen. Den har i princip alltid varit fullbokad. Konferensen anordnas av myndigheterna i SAMFI-samarbetet. Dessa är Myndigheten för samhällsskydd och beredskap (MSB), Försvarets radioanstalt (FRA), Post- och telestyrelsen (PTS), Säkerhetspolisen (Säpo, Polisen, Försvarets materielverk (FMV) och Försvarsmakten.

En inspelning från paneldiskussion med myndighetscheferna finns att se på denna länk: 

2017 uppgav Försvarets radioanstalt (FRA) att man upptäckte 10 000  Cyberaktiviteter per månad från statliga utländska angripare mot mål i Sverige. En "aktivitet" i detta fall behöver inte vara ett angrepp utan enbart ett försök eller förberedelse till angrepp. FRA säger att 2018 är siffran högre. Man går dock inte in på något exakt antal, utan konstaterar bara att den är högre. Vad ökning beror på kan vara flera olika faktorer. Dels kan det kan det vara så att aktiveterna faktiskt ökat, men också att FRA blivit bättre på att upptäcka detta. Mörkertalet lär vara enormt också eftersom man långt ifrån ser alla aktiviteter som sker.

Källa:SVT Nyheter 

Oktober är informationssäkerhetsmånaden! Det är ett EU-initiativ för att öka medvetenheten om informationssäkerhet i hela Europa, hos allmänheten samt små och medelstora företag. Information är viktig ur flera olika aspekter. Det kan vara viktigt att ingen obehörig tar del av den, tex dina lösenord, kontouppgifter osv. Det kan också vara viktigt att den är riktig och att det går att komma åt den när man behöver tillgång till den.

Konfidentialitet, riktighet och tillgänglighet är de aspekter man vanligen pratar om. Men även spårbarhet är en viktig del. Beroende på vilken information som avses så har dessa aspekterna olika viktighet. En känslig personuppgift har ju ett högt skyddsvärde och kräver hög konfidentialitet. I detta fall är det också ett lagkrav via GDPR.

Hur gör man då för att veta vad som är viktigt?
Företag bör genomföra informationslassificering av sin information för att veta vilka ”guldägg” man har och ur vilken/vilka aspekter information ör viktig. Som privatperson, gör man normalt ingen ”dokumenterad” infoklassning, utan snarare en mental. Vi vet nog ungefär vilken information vi bör skydda eller är ok att lämna ifrån sig. Här får varje person själva göra en bedömning om det finns någon risk med att lämna ifrån sig information, men var medveten.

Sedan är det inte alltid skyddet av informationen fungerar. Det ser vi dagligen exempel på när människor blir lurade av bedragare. Bedragarna kan använda social manipulation för att få oss medveten eller omedvetet lämna ifrån oss information eller göra vissa saker. Även tekniska attacker fristående eller i kombination med social manipulation förekommer. Här kan faktiskt alla bli lurade, gammal som ung, erfaren om oerfaren. Vissa av bedrägerierna är lätta att upptäcka andra betydligt svårare. Men lova mig, oavsett vilken kategori du tillhör, gör det inte enkelt för bedragarna. Ringer någon och vill få dig att logga in via ditt BankiD, gör det inte. Ett bra utgångsläge att inte bli lurad är att utgå ifrån att allt är bluff oavsett vilket.

Läs mer om informationssäkerhetsmånaden här.

Ha nu en trevlig informationssäkerhetsmånad, utan att bli lurad! 

Det blir fler och fler datorer i våra bilar och de är uppkopplade på olika sätt. Det kan ju tyckas vara lite olämpligt att bilen är uppkopplad. Visst, men precis som IoT (Internet of Things) så verkar vi nyttjare vilja ha det så. Det finns många fördelar och bekvämligheter med det. Men finns det bara någon typ av åtkomstpunkt så finns det en teoretiskt möjlighet att hacka sig in i system, t. ex. om det finns brister i programvara eller motsvarande.

Så varför skulle då inte bilar gå att ”hacka”?
I praktiken är det ju samma problem som i annan programvara. Utvecklarna har bråttom att få ut programmet så man hinner inte testa tillräckligt. Man återanvänder kod med brister. Även bristande kompetens, framförallt kring säkerhetsfrågor kan vara en faktor. 2015 uppmärksammade media detta ordentligt då två säkerhetsforskare visade också i praktiken att man kunde ta över vissa funktioner i en Jeep Cherokee. Jag kan tänka mig hur otäckt det måste kännas när bromsarna inte fungerar eller ratten inte ”lyder”.

2016 var det Teslas tur att ”drabbas”. Nu i maj 2018 så offentliggjorde samma grupp forskare även att man hittat ett antal sårbarheter hos BMW. Dock har inte alla detaljer kring dessa sårbarheter offentliggjorts ännu. Detta för att BMW ska ha möjlighet att patcha upp och rätta till bristerna. Risken är annars att när detaljerna blir offentliga kommer dessa sårbarheter börja att nyttjas aktivt.

Med lite fantasi så inser man ju vad bristerna mot bilar skulle kunna nyttjas till mot en intet ont anande person. Det är väl inte helt otroligt att det finns många märken och modeller som kan ha denna typen av problem ju mera programvaror det finns i bilarna och mera uppkopplade dessa är.

Som bilägare och förare så kan vi inte göra så mycket åt detta. Vi får bara hoppas att alla biltillverkare tar dessa saker på allvar och jobbar aktivt med dessa frågor. Att man tar sitt ansvar och rättar till eventuella brister snarast oavsett märke och modell när sårbarheter upptäcks. För vem vill åka i en bil med sårbarheter som gör att man kan manipulera bromsarna eller andra vitala system i bilen?