Afleveringen
-
Mattias Jadesköld och Erik Zalitis undersöker content management system (CMS) systemet Wordpress. Wordpress startades av tvÄ unga studenter Är 2003 och sedan dess har plattformen behövt tampats med flera sÀkerhetsproblem.
43% av alla websiter pÄ internet bygger pÄ Wordpress sÄ det Àr verkligen ett hett byte för angripare. Men Àr Wordpress osÀkert? Vad gör Wordpress för att sÀkra plattformen? Hur ska man sjÀlv göra? Och vad ska man undvika?
Dessutom bjuder Erik pÄ en rolig pentesthistoria nÀr han hittade ett uppenbart sÀkerhetshÄl i en Wordpress-site som var ordetligt uppdaterad med uppdaterade tillÀggsprogramvaror.
En del del i detta avsnitt som avslutar "vÄrterminen 2026". Vi hörs efter sommaren kÀra lyssnare!
LÀs mer hÀr:
https://www.itsakerhetspodden.se/332-wordpress-sakerhetsresa/ -
Diskussionen om kombinationen AI och cybersÀkerhet kretsar ofta kring framtidsscenarier med avancerade autonoma attacker. Men tester som dagens gÀst gjort visar nÄgot helt annat. Dagens avsnitt av IT-sÀkerhetspodden gÀstas av Emil Olofsson (Integrity360).
Emil Àr en före detta cybersoldat frÄn Försvarsmaktens och det Àr den erfarenheten som format hans arbete kring sÀkerhet idag. NÀr det gÀller AI som kan man se pÄ sÀkerheten i tre infallsvinklar - de som attackerar, vi som skyddar och organisationens anvÀndandet.
Hur arbetar dessa tre delar med AI? Hur mycket kan automatiseras och "ersÀtta" dagens arbete? Hur ska AI implementeras sÀkert i en organisation?
Det och en hel del annat i dagens avsnitt som görs i samarbete med Integrity360.
Lyssna hÀr:
https://www.itsakerhetspodden.se/331-ai-sakerheten-och-tre-infallsvinklar/
-
Zijn er afleveringen die ontbreken?
-
IT-sÀkerhetspoddens samarbete med SIG Security innebÀr att vi gör avsnitt av föreningens olika föredrag. Dagens avsnitt bygger pÄ en FOKUS-kvÀll frÄn April. Hannes Ullman och Viktor Laszlo diskuterade sÀker drift av kod med eller utan AI. Det tÀnkte vi djupdyka i idag tillsammans med Hannes. Du lyssnar pÄ IT-sÀkerhetspodden som idag Àr ett samarbete med SIG Security.
Erik Zalitis tog sig ett snack med Hannes om bland AI, sypply-chain och hur AI Àr en accelator i Àmnet.
LÀs mer hÀr:
https://www.itsakerhetspodden.se/330-saker-drift-av-kod-samt-utveckling-med-eller-utan-ai/
-
I detta avsnitt har Erik Zalitis gÄtt igenom sitt arkiv bland gamla tevespel frÄn 80-, 90- och 2000-talet och siktat in sig pÄ dess hjÀltar och skurkar. Varför dÄ?
Jo, tillsammans med Mattias Jadesköld undersöker de storys i spel med hackingtema och ser hur de stÄr sig idag. Vilket spel Àr nÀrmast en utbildning för pentestare? Vilket spel liknar lateral förflyttning i sekvensen Command & Control. Vilket spel har mest skrÀmmande AI? Och vilket spel har en dystopsikt variant av social engineering? Vilka Àr skurkar och vilka Àr hjÀltar? Och var det hÀr nÄgonstans som begreppet hacker gick frÄn nÄgon coolt till nÄgot dÄligt?
LÀs mer hÀr:
https://www.itsakerhetspodden.se/329-skurkar-och-hjaltar-i-tevespelen/ -
Mattias och Erik tar sig en titt pÄ gruppen hacktivist Guacamaya som tog sin form 2022 och har gjort en rad olika dataintrÄng i latinamerikanska intressen.
Vad innebĂ€r hacktivism? Ăr man brottsling eller hjĂ€lte? Svart eller vit hatt? IT-sĂ€kerhetspodden reder ut. För att göra det behöver duon gĂ„ tillbaka i historielinjen till 1800-talet och Monroe-doktrinen dĂ€r USA ansĂ„g att sydamerika var deras intressesfĂ€r. Hur har det format dagens moderna cybergrupperingar?
Allt om detta men Àven t.ex. Che Guevaras Rolexklocka och en hel del annat.
LÀs mer hÀr:
https://www.itsakerhetspodden.se/328-cyberkriget-i-latinamerika/ -
Erik Zalitis och Mattias Jadesköld gÄr tillbaka i tiden och tittar pÄ fenomenet "Y2K problemet" eller milleniumbuggen. Vad var det egentligen? Varför var alla sÄ rÀdda för vad som skylle hÀnda över nyÄrsnatten?
Erik minns tillbaka hur han och hans kollegor förberedde sig och hur alla leverantörer sÄsom Microsoft, RedHat och Cisco gjorde.
Ifall nÄgon Àr nyfiken pÄ en mer aktuell hÀndelse kring vÄrdsystemet "millenium" sÄ blir den inte besviken! Den hÀndelsen diskuteras ocksÄ i ett sidospÄr!
LÀs mer hÀr:
https://www.itsakerhetspodden.se/327-y2k-problem-milleniumbuggen/ -
I det tredje och sista avsnittet av miniserien om Security principles tar sig Mattias Jadesköld och Erik Zalitis tillsammans med Kent Illemann nÄgra nya principer.
Eller nya och nya. De Àr ju skapade frÄn mitten av 70-talet sÄ genomgÄende i serien handlar om ... stÄr de sig idag? Och de som granskas i detta avsnitt Àr Least Common Mechanism, Ease of Use, Work Factor och Compromise Recording. Vi pratar ocksÄ om Claude Mythos och att det finns en mer positiv framtid Àn vad mÄnga förstÄr.
Vad innebÀr dessa principer? Vissa Àr helt sjÀlvklara och vissa Àr vÀldigt svÄra att tillÀmpa och mÄste etableras tidigt i ett arkitekturarbete.
Lyssna hÀr:
https://www.itsakerhetspodden.se/324-security-principles-del-3/ -
Erik och Mattias tar sig en titt pÄ Apples sÀkerhetsresa.
Apples tekniska utveckling har gÄtt frÄn anvÀndarvÀnliga hemdatorer till en gigant pÄ mobilmarknaden. Vad har de gjort rÀtt? Vad har gÄtt fel och fÄtt hÄrd kritik?Duon diskuterar allt frÄn sÀkerheten kopplat till sandboxing och walled garden. Och hur var det med skandalen CSAM 2021 och den allvarliga sÄrbarheten 2019?
Lyssna pÄ detta avsnitt som tar en titt pÄ Apples bÀsta sÀkerhetsresa ... hittills. :
https://www.itsakerhetspodden.se/325-apples-sakerhetsresa/ -
Avsnittet Àr den andra delen av tre om Security principles.
Denna gÄng pratar vi omr Open design, Separation of privilege och Least privilege
Vad Àr dessa principer? Hur aktuella Àr de idag? Finns det modern teknik som rymmer inom dessa principer och vilka lagar/regelverk lutar sig mot dessa? Det och en hel del annat i denna serie!
HÄll utkik efter det tredje avsnittetm som kommer inom kort. Omslagsbilden Àr en AI-restaurerad bild av Saltzer och Schroeder.
LÀs mer hÀr:
https://www.itsakerhetspodden.se/322-security-principles-del-2/ -
Shadow IT Àr en trogen följeslagare i IT-braschen och har gÀckat nitiska IT-avdelningar i alla Är.
Mattias Jadesköld och Erik Zalitis granskar fenomenet frÄn dess första början till idag. Hur har det förÀndrats? Hur sÄg det ut förr och hur ser det ut idag? DÄ med inkopplade DHCP-servrar och idag med AI och SaaS-lösningar.
Men varför uppstÄr egentligen Shadow-IT och Àr det verkligen ett it-sÀkerhetsproblem ... bara?
Givetvis har Mattias en lista pÄ tekniska grejer som Erik tvingas fundera pÄ ifall de löser Shadow-IT eller inte.
LÀs mer hÀr:
https://www.itsakerhetspodden.se/323-evolutionen-av-shadow-it/ -
Avsnittet Àr den första delen av tre om Security principles.
Dessa principer skapades Är 1975 av Saltzer och Schroeder, sÄ nu undrar IT-sÀkerhetspodden ifall detta fortfarande Àr aktuellt. Till sin hjÀlp har Mattias Jadesköld och Erik Zalitis med sig Kent Illemann.
Först ut Àr Economy of Mechanism, Fail-Safe (Fail-Secure) och Complete Mediation.
Vad Àr dessa principer? Hur aktuella Àr de idag? Finns det modern teknik som rymmer inom dessa principer och vilka lagar/regelverk lutar sig mot dessa? Det och en hel del annat i denna serie!
HÄll utkik efter andra och tredje avsnittet som kommer sÄ smÄningom. Omslagsbilden Àr en AI-restaurerad bild av Saltzer och Schroeder.
-
För nÄgra Är sedan, nÀr "molnet" var nytt, var det som rena rama guldruschen. Allt skulle till molnet och allt skulle bli bra dÀr.
Men nu, Ă„r 2026, sĂ„ kan Mattias Jadesköld och Erik Zalitis konstatera att det publika molnet har mognat. Ăr det en teknisk mognad? Eller regulatorisk mognad? Eller kanske Ă€r det vi anvĂ€ndare som har en mer mogen syn?
Molnet som levereras mest frÄn Microsoft Azure, AWS och Google Cloud med hjÀlp av IaaS, PaaS och SaaS har varit debatterat i sÀkerhetsvÀrlden lÀnge. Men hur ser det ut idag?
I dagens avsnitt diskuteras bland annat Skatteverket, Bring Your Own Keys, Schrems-domarna och en hel del massa saker. Nintendo faktiskt ocksÄ!
LÀs mer hÀr:
https://www.itsakerhetspodden.se/321-ar-molnet-pa-vag-in-i-en-ny-mognadsfas/ -
Microsoft Project Silica börjar snart bli verklighet. Det bygger pÄ att lagda data pÄ glas och det ska kunna bevaras i flera tusen Är.
SÄ ... vad Àr egentligen utmaningen med lÄngtidslagring? Hur ska man arbeta med det i praktiken? Hur hÀnger det ihop med informationsklassning? Vad sÀger GDPR och varför behöver till exempel systemdokumentationen om ett ekonomisystem bevaras sÄ lÀnge?
Erik Zalitis och Mattias Jadesköld vÀnder och vrider pÄ begreppen, de olika tekniska delarna och framförallt sÀkerheten gÀllande lÄngtidslagring.
Lyssna hÀr:
https://www.itsakerhetspodden.se/320-utmaningarna-med-langtidslagring/ -
Det börjar nÀrma sig jul 2021 och i ett logghanteringsverktyg inne i Java som finns inne i till exempel Apache som finns som en del av en applikation börjar det koka.
Ja, detta Àr historien om hur sÄrbarheten i Log4J dök upp och satte skrÀck i alla organisationer. Mattias Jadesköld och Erik Zalitis tar sig en titt pÄ fenomenet som nu Àr över fem Är gammalt.
Vad var det som hÀnde? Vad var sÄrbarheten? Hur kunde en angripade nyttja den? Och varför finns det Àn idag sÄrbara system dÀr ute?
Att skydda sig mot Log4J visade sig vara svÄrt dÄ, men har vi lÀrt oss nÄgot? Skulle vi hantera det bÀttre idag?
LÀs hÀr:
https://www.itsakerhetspodden.se/319-log4j-och-det-omfattande-detektivarbetet/ -
Erik Zalitis och Mattias Jadesköld tar sig en titt pÄ hur övervakningen utvecklats. Det började med att sÀkerstÀlla att systemet var tillgÀngligt och har numera kommit till deep-learning-AI-sÀkerhetsincidentdetektering. Oavsett om det Àr ett ord eller inte har övervakningen blivit mer komplext.
Vad Àr nödvÀndigt att övervaka? Var ska man börja? Hur började det hela pÄ 90-talet och hur ser det ut idag? Och kan AI idag ta över mÀnniskans arbete (som en SOC och en NOC gör)?
LÀs mer hÀr:
https://www.itsakerhetspodden.se/318-overvakningens-resa-fran-signaturer-till-beteenden/ -
I dagens avsnitt av IT-sĂ€kerhetspodden stĂ€ller sig Erik Zalitis och Mattias Jadesköld en eventuellt obekvĂ€m frĂ„ga. Ăr det sĂ„ att IT-branschen nyttjar sĂ€kerhetslĂ€get för att sĂ€lja mer sĂ€kerhet?
Har det dykt upp oseriösa aktörer som utgÄr frÄn sÀkerhetslÀget för att sÀlja lösningen? Hur spelar AI rollen i detta lÀge? Hur har det sett ut förut?
Erik berÀttar om en hÀndelse frÄn förr om centrala loggar och Mattias tar en titt pÄ NDR. Och hur har krishanteringen förÀndrats de senaste Ären?
LÀs mer hÀr:
https://www.itsakerhetspodden.se/317-har-it-sakerhetsvarlden-dragit-nytta-av-ett-osakert-varldslage/ -
**** TÀvlingen fortsÀtter ****
TÀvlingen fortsÀtter dÀr man kan vinna en fin collegetröja med IT-sÀkerhetspoddens finfina logga! SÄ like:a pÄ Linkedin, facebook eller X och dela posten.
I dagens avsnitt tittar Mattias jadesköld och Erik Zalitis pÄ hur Ransomware har utvecklats. Inte sÄ mycket teknikmÀssigt men tillvÀgagÄngssÀttet.
Det Àr nÀmligen sÄ att ransomware-gÀngen rekryterar personer inom organisationer. Det kan jÀmföras med att man mutar en vakt pÄ en bank som hÄller dörren öppen.
Ăr verkligen vi som försvarar redo för denna typ av attack? Hur gĂ„r det till? Hur ska man försvara sig? Vad Ă€r för teknik finns men kanske viktigare ... vilka psykologiska grepp kan man ta till?
LÀs mer hÀr:
https://www.itsakerhetspodden.se/316-ransomware-rekrytering-av-insiders/ -
**** TĂ€vling **** TĂ€vling **** TĂ€vling ****
Lyssna noga för idag delas det ut myströjor (collegetröjor) med IT-sÀkerhetspoddens nya finfina logga! HÀng med i avsnittet hur man ska göra för att fÄ tag i denna dyrgrip!
Mattias och Erik riktar cybersÀkerhetsglasögonen mot Grönland och Danmark. För nÀr det geopolitiska centrumet hastigt flyttats till arktis sÄ bör Àven cybersÀkerhetsvÀrlden ocksÄ göra det.
Vad hÀnder IT-sÀkerhetsmÀssigt i regionen? Vad har hÀnt tidigare? Vilka typer av attacker har skett och hur ska denna avlÀgsna region skydda sig?
Vilka Àr angriparna? Ja, det och en hel del annat djupdyker Mattias Jadesköld och Erik Zalitis i dagens avsnitt.
LÀs mer hÀr:
https://www.itsakerhetspodden.se/315-fokus-pa-gronland-och-danmark/ -
à ret 2025 gÄr mot sitt slut sÄ dÀrför avslutar IT-sÀkerhetspodden i vanlig ordning med att ta temperaturen pÄ kryptoÄret! Det gör Mattias Jadesköld och Erik Zalitis i vanlig ordning med CoinStad.
Vad Àr de stora hÀndelserna? För hackare var det ett rekordÄr i alla fall. Nordkoreanska hackare roffade Ät sig ingefÀr 2 miljarder dollar. Men Àr det verkligen en sÀkerhetsbrist i sjÀlva kryptovalutan? HÀr gÀller det Àr tÀnka till lite vilka plÄnböcker man anvÀnder och hur man ska gÄ till vÀga nÀr man ska vÀxla valutor.
Hur skulle ett kryptobaserat samhÀlle se ut? Vad skiljer det sig mot dagens samhÀlle? Och hur skapar man sin egen kryptovaluta?
LÀs mer hÀr:
https://www.itsakerhetspodden.se/314-kryptoaret-2025-med-coinstad/ -
Dagens avsnitt handlar om nÀr den statsstödda gruppen "Storm-0558" angrep Microsoft 2023. Diskussionen som Mattias Jadesköld och Erik Zalitis har handlar dels om attacken, dess tillvÀgagÄng men Àven om tillit ...
Hur dÄ? Jo, vilken tillit mÄste man ha om man nyttjar molntjÀnster? Vilka sÀkerhetskontroller kan man ansvara för sjÀlv? Hur fungerar nyckelhanteringen och signeringen?
Och varför tar det sÄ otroligt lÄng tid innan Mattias och Erik kommer igÄng med sjÀlva Àmnet?
Lyssna hÀr:
https://www.itsakerhetspodden.se/313-storm-0558-microsoft-incidenten-2023/ - Laat meer zien