Bli säker-podden

La Liga har fått spanska operatörer att blockera CDN-nätverk som distribuerar illegala IPTV-sändningar. Detta trots att sådana blockeringar gör även helt legitima webbplatser oåtkomliga. Storbritanniens premiärminister Keir Starmer vill strama åt ålderskontrollerna på nätet ännu hårdare. Detta trots att Storbritannien saknar säkra metoder för åldersverifiering. La Liga och Starmer ställs inför samma problem: det är långt ifrån alla som delar deras önskemål. Britterna som inte vill åldersverifiera sig skaffar i stället VPN-tjänster, så att de kan tunnla ut sin trafik från landet. Spanjorerna som vill kringgå de spanska operatörernas blockeringar gör samma sak. Som ett väntat nästa steg sätter både La Liga och Storbritannien fokus på VPN-tjänsterna. I veckan hävdade La Liga att två stora VPN-tjänster (Proton VPN och Nord VPN) måste införa samma CDN-blockeringar som de spanska operatörerna. Starmer skickade ut ett pressmeddelande om behovet av att begränsa barns åtkomst till VPN-tjänster. I veckans poddavsnitt pratar Peter och Nikka om de nya önskemålen om VPN-begränsningar. Nikka förklarar att han inte ens förstår hur åldersbegränsning av VPN-tjänster skulle kunna genomföras i praktiken. Efter att veckans poddavsnitt spelades in publicerade nyhetsbyrån Reuters ett relaterat avslöjande. Enligt Reuters utvecklar amerikanska utrikesdepartementet en frihetsportal som ska hjälpa européer att kringgå europeiska internetbegränsningar. Frihetsportalen skulle bland annat kunna tillhandahålla en VPN-tjänst som tunnlar ut trafiken i USA. Varför någon skulle välja att lita på just den VPN-tjänsten framgår inte. Se fullständiga shownotes på https://go.nikkasystems.com/podd340.

De senaste veckorna har AI-botten Openclaw skapat många rubriker. Openclaw fungerar som en AI-agent på datorn. Den chattar med sin ägare via valfri chattapp och utför uppgifterna som den blir instruerad att göra. Den gör dem dessutom förvånansvärt bra. Openclaw gör det som Siri och Google Assistant alltid har strävat efter att kunna erbjuda, men aldrig lyckats leverera. Den extremt kompetenta AI-botten är samtidigt vansinnigt riskfylld. Openclaws utvecklare är helt öppna med detta faktum. De varnar användare som installerar botten för att den kan bli lurad att göra osäkra saker. Utvecklarna klassar dessutom Openclaw som ett hobbyprojekt och koden har ännu inte lämnat beta-stadiet. I veckans poddavsnitt pratar Peter och Nikka om Openclaws förträffliga funktionalitet och undermåliga cybersäkerhet. Nikka lyfter fem problem som gör att han avråder alla från att använda botten i annat än test- och leksammanhang. Openclaw dras bland annat med samma problem som ChatGPT:s AI-agentwebbläsare: risken för promptinjektionsattacker. Angripare skulle kunna lura Openclaw att tolka information på webben eller i meddelanden som instruktioner att följa. Då är det plötsligt angriparen som styr vad AI-agenten ska göra på datorn där Openclaw har släppts loss. Hur pass väl skyddad Openclaw är mot promptinjektionsattacker beror på vilken underliggande AI-modell som ägaren väljer. Utvecklarna har gjort sitt bästa för att skydda botten, men de är samtidigt öppna med att risken kvarstår. Än så länge vet faktiskt ingen om problemet ens går att lösa. Se fullständiga shownotes på https://go.nikkasystems.com/podd339.

Utvecklingen av så kallade kvantdatorer väcker oro. Om någon lyckas uppfinna en tillräckligt kraftfull kvantdator kommer den att kunna knäcka många av krypteringslösningarna som används idag. Runt om i världen har underrättelsetjänster redan börjat spela in krypterad trafik i hopp om att en framtida kvantdator ska kunna dekryptera den. Vi måste därför påskynda övergången till kvantdatorsäkra krypteringsalgoritmer. Veckans specialavsnitt av Bli säker-podden gästas av IT-säkerhetsexperten Joachim Strömbergson från Assured. Han förklarar hur vår värld påverkas av hotet från kvantdatorerna. Joachim redogör för vilka situationer som berörs, var problemet är som störst och hur lösningarna ser ut. Det har redan uppfunnits flera kvantdatorsäkra krypteringsalgoritmer, men de har av förklarliga skäl inte hunnits testas i samma utsträckning som de klassiska motsvarigheterna. Frågan är: kan vi lita på dem? Se fullständiga shownotes på https://go.nikkasystems.com/podd338.

I veckan lämnade en internationell grupp in en stämningsansökan mot Meta. Gruppen hävdar att Meta ljuger om totalsträckskrypteringen i meddelandeappen Whatsapp. Enligt påstådda visselblåsare kan medarbetare hos Meta läsa alla meddelanden som skickas. De påstådda visselblåsarna hävdar till och med att Meta-medarbetare kan återställa raderade meddelanden. Meta avfärdar alla dessa påståenden som helt grundlösa. I en kommentar till New York Post förklarar Whatsapps chef att stämningen drivs av samma advokatbyrå som försvarar NSO Group. NSO Group är företaget bakom den ökända spiontrojanen Pegasus som har använts för att spionera på politiker, journalister och människorättsaktivister. Pegasus har bland annat utnyttjat Whatsapp för att få fotfäste på offrens mobiler, vilket har lett till en mångårig tvist mellan Meta och NSO Group. Whatsapps chef hävdar att den påstådda visselblåsarläckan är en ren distraktion från NSO Groups advokaters sida. Elon Musk (X:s ägare) och Pavel Durov (Telegrams grundare) har snabbt dragit nytta av situationen. Musk hävdar att Whatsapp är osäkert och att även Signal är tveksamt. Han uppmanar sina följare att byta till X Chat. Pavel Durov går ett steg längre och säger att alla som tror att Whatsapp är säkert måste vara hjärndöda. I veckans poddavsnitt pratar Peter och Nikka om pajkastningen mellan företagen bakom meddelandeapparna. Nikka poängterar att Metas historiska kontroverser ligger företaget till last. Eftersom Whatsapp saknar öppen källkod kan Meta inte bevisa att Whatsapp är fri från bakdörrar. Det blir upp till Whatsapp-användarna att välja om de litar på Metas ord. Faktumet att Whatsapp baseras på det öppna Signal-protokollet gör varken till eller från i det här fallet. Nikka poängterar samtidigt att de som anklagar Meta saknar bevis och dras med egna trovärdighetsproblem. Musks X Chat har dessutom så allvarliga sårbarheter att X:s anlitade tredjepartsgranskare rekommenderar X att pausa funktionen. Durovs Telegram använder inte totalsträckskryptering som standard och kan därför inte ens jämföras med säkra meddelandeappar. Podduons rekommendation blir den vanliga: välj Signal-appen. Signal använder inte bara det öppna Signal-protokollet. Hela appen har öppen källkod. Signal-användarna behöver inte lita på utfästelser om att appen är bakdörrsfri. Världens säkerhetsforskare kan kontrollera att den faktiskt är det. Se fullständiga shownotes på https://go.nikkasystems.com/podd337.

Förra veckan tillkännagavs en ny sårbarhet i Bluetooth-hörlurar från flera stora tillverkare, däribland Sony, JBL, Jabra och Marshall. De berörda hörlursmodellerna har alla stöd för Googles Fast Pair-teknik, och tillverkarna har implementerat tekniken på ett felaktigt vis. Det rör sig alltså inte om någon sårbarhet i själva Bluetooth-protokollet. Sårbarheten har fått namnet Whisperpair. Namnet anspelar på konsekvenserna. En angripare som befinner sig inom Bluetooth-räckvidd kan i tysthet koppla ihop ovetande användares hörlurar med sin egen dator. Därigenom kan angriparen avlyssna vad som sägs. Whisperpair-sårbarheten förvärras av att flera berörda hörlursmodeller har stöd för Googles Find Hub-nätverk (används för att hitta borttappade produkter). Sådana hörlurar måste kopplas till en Android-mobil för att registreras på mobilägarens Google-konto. Det är ett problem för Iphone-ägare som har köpt sårbara och Find Hub-kompatibla hörlurar. Deras hörlurar lämnas kvar i registrerbart läge. Whisperpair-sårbarheten gör att en angripare (inom Bluetooth-avstånd) kan koppla oregistrerade hörlurar till sitt eget Google-konto och framgent spåra var ägarna befinner sig. För att lösa problemet måste hörlurstillverkarna släppa firmware-uppgraderingar till de berörda modellerna. Hörlursägarna måste därefter också installera firmware-uppgraderingarna, vilket i sin tur förutsätter att ägarna har laddat ned de tillhörande apparna. Detta innebär att många hörlurar kommer att förbli sårbara. I veckans poddavsnitt pratar Peter och Nikka om problemet med Whisperpair-sårbarheten. Den danska polisen ansåg att sårbarheten var så allvarlig att de rekommenderade alla anställda att stänga av Bluetooth på sina mobiler. Nikka förklarar varför det, i hans mening, är helt fel rekommendation och varför det ändå inte löser problemet. Bli säker-podden instiftar däremot en annan rekommendation: välj Bluetooth-hörlurar som har en app för din mobils operativsystem. Se fullständiga shownotes på https://go.nikkasystems.com/podd336.

(Veckans avsnitt av Bli säker-podden innehåller ett inslag som handlar om självmord. Hjälp till dig som har självmordstankar finns på 1177.se. Vid akuta situationer: ring 112.) Förra veckan meddelade OpenAI att ChatGPT ska få nya hälsofunktioner. Enligt ett officiellt blogginlägg ska AI-boten stödja, inte ersätta, vård från kliniker. OpenAI förklarar att det innebär att AI-boten kan hjälpa till med förberedelser inför läkarbesök, tolka testresultat, jämföra hälsorelaterade försäkringsalternativ samt ge kost- och träningsråd. Enligt OpenAI:s egna siffror är det varje vecka över 230 miljoner människor som ställer hälsorelaterade frågor till ChatGPT. AI-botens nya hälsoläge ska skydda dessa konversationer genom att isolera dem från övriga konversationer och tillämpa något som OpenAI kallar ”specialbyggd kryptering”. Den exakta innebörden är ännu oklar, men OpenAI skriver inte att datan är vare sig totalsträckskrypterad eller krypterad på klientsidan. Kryptering av chatthistorik på klientsidan är något som OpenAI överväger att implementera på sikt. I samband rättstvisten mot New York Times (OpenAI kan tvingas lämna ut 20 miljoner privata chattar) skrev OpenAI att kryptering på klientsidan låg med i deras långsiktiga roadmap. Konkurrenter såsom Proton Lumo har redan implementerat sådan kryptering som säkerställer att Proton (tjänsteleverantören) inte kan komma åt användarnas chatthistorik. Den nya ChatGPT Health-tjänsten lanseras först i USA. Där föreslår nu OpenAI att användarna ska ladda upp sina journaler och länka samman diverse hälsoappar med sina ChatGPT-konton. I veckans podd resonerar Peter och Nikka kring hur klokt det verkar. Podduon lyfter både dataskyddsaspekten och risken för att ChatGPT hallucinerar ihop felaktiga hälsoråd. Den sistnämnda risken är värd att ta på allvar. I början av året avslöjade The Guardian hur Googles AI-sammanfattningar gav direkt farliga råd till personer med bukspottkörtelcancer och leversjukdomar. Högen med rättsärenden där ChatGPT anklagas för att ha drivit människor till självmord växer också för varje månad som går. Se fullständiga shownotes på https://go.nikkasystems.com/podd335.

2015 inträffade den så kallade dieselgate-skandalen som fick ringar på vattnet i hela bilindustrin. Bilkoncernen Volkswagen hade manipulerat mjukvaran i sina dieselbilar så att mjukvaran skulle känna igen testmiljöer och anpassa avgasutsläppen därefter. Det gjorde att bilarna klarade miljökraven vid testtillfällena trots att de inte gjorde det i praktiken. Under den senaste månaden har två techjättar ertappats med att agera på samma vis. Deras tjänster beter sig på ett sätt när de granskas och ett annat sätt för vanliga användare. I slutet av december släppte Youtube-journalisten Megalag sitt efterlängtade uppföljningsavsnitt om Paypals webbläsartillägg Honey. Webbläsartillägget marknadsförs som en automatisk lösning för att hitta de bästa rabattkoderna till butiker på nätet. 2024 avslöjade Megalag att tillägget gjorde mer än så. Honey stal också ersättningen som skulle ha gått till butikernas samarbetspartners. I decembers uppföljningsavsnitt visade Megalag hur Paypal dessutom hade programmerat tillägget för att minimera risken att bli ertappade. Dagen före årsskiftet släppte nyhetsbyrån Reuters ytterligare ett avslöjande baserat på dokumenten som läckte från inifrån Meta. Enligt dessa dokument manipulerar Meta sitt eget annonsbibliotek, det vill säga transparensverktyget som tillsynsmyndigheter, utredare och journalister drar nytta av för att granska Metas annonsmoderering. I veckan poddavsnitt pratar Peter och Nikka om hur Paypal och Meta gjorde som Volkswagen och nu har ertappats i sina egna dieselgate-skandaler. Nikka berättar också om sin ändrade syn på Metas annonsbibliotek. Tidigare trodde han att annonser försvann spårlöst på grund av buggar i annonsbiblioteket, men dokumenten som Reuters har tagit del av indikerar annorlunda. Meta har medvetet gjort sitt transparensverktyg otillförlitligt. Se fullständiga shownotes på https://go.nikkasystems.com/podd334.

Ytterligare ett år är slut. Ett nytt år är kommet. Det är dags för Bli säker-poddens traditionsenliga nyårsspecialavsnitt. Inför varje nytt år spanar Peter och Nikka in i framtiden. De presenterar fem händelser som de tror (eller är rädda för) att inträffar. 2025 spådde de att Proton Pass skulle utmana Bitwarden, att det transatlantiska dataöverföringsavtalet skulle falla, att Apple skulle lansera en egen sökmotor, att användandet av nycklar skulle fördubblas samt att Microsoft skulle fortsätta hålla Windows 10-datorer säkra. Tre av profetiorna inföll. I veckans poddavsnitt presenterar podduon fem nya spaningar för 2026. Användandet av den säkerhets- och integritetsfokuserade webbläsaren Brave fortsätter att växa medan tillväxten har stagnerat för konkurrenten Firefox. Under 2026 finns det därför chans att Brave blir större än Firefox i popularitetsmätningar. Det världspolitiska läget och den bevisade skalbarheten talar för att den öppna samarbetsplattformen Nextcloud fortsätter vinna mark bland europeiska organisationer. Peter och Nikka spår att flera större svenska företag eller myndigheter byter från Microsoft 365 till Nextcloud under året. Podduon varnar därefter för två risker. För det första oroar de sig för att främmande makt kommer att utnyttja AI-videoklipp för att påverka det svenska valet. Under julen rapporterade nyhetsbyrån Reuters om en sådan desinformationskampanj på Tiktok som vände sig till den polska befolkningen. Vackra AI-genererade tjejer spred EU-kritisk propaganda. För det andra oroar podduon sig för att något svenskt parti föreslår förbud mot VPN-tjänster för privatpersoner. I den pågående debatten kring åldersverifiering och legitimeringskrav på sociala medier utgår partierna från att svenska folket fortsätter ansluta till plattformarna från Sverige. Men vad blir nästa steg om svenskarna gör som britterna och tunnlar ut sin trafik från landet i stället för att acceptera åldersverifieringen och ID-kraven? Avslutningsvis tror både Peter och Nikka att Microsoft behöver upprepa sitt fjolårsbeslut om ytterligare ett år av kostnadsfria säkerhetsuppdateringar för Windows 10. Det är fortfarande bara hälften av världens Windows-datorer som har uppgraderats till Windows 11. Se fullständiga shownotes på https://go.nikkasystems.com/podd333.

Världens största porrsajt har råkat ut för ett dataintrång. Den ökända hackergruppen Shinyhunters påstår sig ha stulit 94 gigabyte data med användares mejladresser, sökhistorik och listor över filmerna som användarna har tittat på. Pornhub har erkänt intrånget. Shinyhunters har skickat delar av den stulna datan till nyhetsbyrån Reuters som i sin tur har verifierat äktheten. Nu råder förhöjd risk för så kallad sextortion (sexutpressning). Företeelsen är långt ifrån ny. Genom åren har bedragare skickat kopiösa mänger sexutpressningsmejl. Dessa mejl har nästintill alltid varit tomma hot. Dagens situation är annorlunda. Nu finns risk för att utpressarna hotar med att läcka data som de har stulits på riktigt. Pornhub skriver att de ”är medvetna om att individerna som är ansvariga för incidenten har hotat att kontakta berörda Pornhub Premium-användare”. I veckans poddavsnitt pratar Peter och Nikka om konsekvenserna av intrånget. Nikka berättar om hur sextortion-attacker har utvecklats genom åren. Podduon varnar också för att nyhetsrapporteringen kring Pornhub-läckan höjer risken för copycat-attacker. Det finns ingenting som hindrar andra kriminella aktörer från att påstå sig ha tillgång till den stulna datan, även om de i själva verket inte har det. Copycat-bedragarna kan skicka ut stora mängder mejl till mejladresser som har läckt från andra webbplatser i hopp om att nå mottagare som också har registrerat sig på världen största porrsajt. Se fullständiga shownotes på https://go.nikkasystems.com/podd332.

Termen ”totalsträckskryptering” (end-to-end encryption) har blivit ett riktigt modeord. Allt fler tjänsteleverantörer marknadsför att de skyddar sina användares data med just totalsträckskryptering. Det innebär att datan krypteras så att enbart användarna själva kan komma åt den. Tjänsteleverantören saknar åtkomst. Det gör att tjänsteleverantören varken kan spionera på användarnas data eller råka läcka datan ifall de skulle drabbas av ett cyberintrång. Problemet är att långt ifrån alla tjänsteleverantörer tillämpar totalsträckskryptering trots att de påstår sig göra det. 2020 tvingades Zoom gå ut med en ursäkt efter att de hade påstått sig erbjuda totalsträckskrypterade möten trots att Zoom hade nycklarna som krävdes för att dekryptera trafiken. Microsoft Teams stödjer totalsträckskrypterade möten men det är enbart röst- och videotrafiken som totalsträckskrypteras. Chattmeddelanden och uppladdade filer gör det inte. Apples meddelandetjänst är alltid totalsträckskrypterad med undantag för säkerhetskopiorna. De lagras utan totalsträckskryptering om inte alla deltagare i konversationen har aktiverat funktionen Avancerat dataskydd, vilken är avstängd som standard. I veckans poddavsnitt belyser Peter och Nikka missbruket av termen totalsträckskryptering. Podduon fokuserar framför allt på två konsumentprodukter med tillhörande molntjänster. Boox och Kohler tillverkar läsplattor respektive toalettkameror (!). Båda tillverkarna påstår att de skyddar sina användares data med totalsträckskryptering. Tillverkarnas definition av totalsträckskryptering är dock den motsatta. När de två tillverkarna säger att de totalsträckskrypterar datan menar de i själva verket att de inte alls totalsträckskrypterar datan. Se fullständiga shownotes på https://go.nikkasystems.com/podd331.

Under 90-talet var Malmös äventyrsbad Aqvakul (”aq-va-kul”) ett välkänt utflyktsmål i Skåne med omnejd. Från mitten av 00-talet kantades anläggningen av återkommande problem med alltifrån legionellabakterier till söndervittrande betong. 2015 stängdes äventyrsbadet för gott. På tiden då Aqvakul var öppet låg anläggningens webbplats på en egen domän. När verksamheten lades ned gjorde webbplatsen likaså. Besökare som gick till den gamla adressen skickades vidare till en ny webbsida på Malmö stads webbplats, åtminstone under det första året. 2017 upptäckte någon att Malmö stad hade låtit bli att förnya den gamla domänen. Personen registrerade domänen och återpublicerade en kopia av den gamla Aqvakul-webbplatsen, fast med en nämnvärd skillnad. Längst ned på Aqvakuls startsida ligger numera orelaterade reklamlänkar för belysning, akustikplattor och flyttstädstjänster. Dagens sökmotorer prioriterar sökresultaten efter en mängd olika parametrar. En av parametrarna som väger tyngst är hur många andra välrenommerade webbplatser som länkar in till webbplatsen i fråga. Det har skapat en marknad för så kallade spamlänkar. Företag som vill få sina webbplatser att ranka högre kontaktar andra sajtägare i hopp om att få köpa länkar på deras webbplatser. När någon, likt Malmö stad, låter en gammal domän förfalla kan en aktör i spamlänksbranschen registrera den gamla domänen. Aktören kan dra nytta av att många andra webbplatser fortfarande har länkar till den övergivna domänen, vilken därför har ett gott sökmotorsrykte. Det innebär att aktören kan publicera en ny webbplats på den gamla domänen och ta bra betalt för länkar till andra webbplatser. I veckans poddavsnitt pratar Peter och Nikka om den ljusskygga handeln med länkar. Trots att länkspam är förbjudet enligt Google finns det stora nätverk som säljer, köper och byter länkar med varandra. En typ av verksamhet som gärna betalar för Google-förbjudna länkar är kasinoföretagen, framför allt företagen som inte vill följa lagar och regler. Se fullständiga shownotes på https://go.nikkasystems.com/podd330.

Inför årsskiftet slutför Sveriges operatörer nedsläckningen av sina 3G-nät. Tele2 och Telenor släcker också sitt gemensamma 2G-nät, och Tre har aldrig haft något sådant nät. Telias 2G-nät blir därmed det enda 2G-nätet som lever vidare. Telia har meddelat att de skjuter upp nedsläckningen av sitt 2G-nät till årsskiftet 2027/2028. Genom att släcka gamla mobilnät frigörs plats åt nya mobilnät med högre kapacitet och snabbare överföringshastigheter. Nedläggningen är dock inte helt oproblematisk. 2G- och 3G-mobiler är inte framåtkompatibla med 4G-näten. Många äldre 4G-mobiler saknar också stöd för att ringa 4G-samtal, vilket gör att dessa mobiler förvandlas till små surfplattor när 2G- och 3G-näten försvinner. (SOS-samtal går, oavsett operatör, att ringa via Telias 2G-nät så länge det finns kvar.) Problemet berör inte enbart mobiler. Många äldre larmsystem och andra mobilnätsuppkopplade prylar har inbyggda 2G- eller 3G-modem. Sådana modem kan inte kommunicera via 4G- eller 5G-nätet över huvud taget. Sveriges bilflotta berörs likaså. Trots att många uppkopplade bilar har moderna 4G-modem förlorar bilarna nödfunktionen Ecall samma dag som Telia stänger av sitt 2G-nät. Fram till i år har nämligen alla uppkopplade bilar förlitat sig på 2G-nätet för Ecall-funktionen även om de har använt 4G- eller 5G-nätet för övrig funktionalitet. I veckans podd reder Peter och Nikka ut vad händer med svenska mobiler och bilar när de gamla mobilnäten släcks. Podduon pratar också om att Utgivarna har polisanmält Metas chef Mark Zuckerberg på grund av att Meta inte har tagit itu med bluffannonsproblemet. Se fullständiga shownotes på https://go.nikkasystems.com/podd329.

Molnbaserade AI-chattbotar används för att diskutera många typer av frågor, inklusive frågor om känsliga ämnen. Detta är ChatGPT:s ägare OpenAI väl medvetna om. I mitten av november publicerade OpenAI ett blogginlägg där de skrev att det nu är över 800 miljoner människor som använder ChatGPT varje vecka. Enligt blogginlägget för användarna känsliga samtal med ChatGPT, och de delar allt från minnen och filer till inloggningsuppgifter och betalningsinformation. På grund av en pågående rättstvist försöker New York Times tvinga OpenAI att lämna ut 20 miljoner privata chattsamtal. Eftersom OpenAI har designat molntjänsten utan totalsträckskryptering har OpenAI åtkomst till chattarna och kan därmed tvingas lämna ut dem. ChatGPT är inte den enda chattboten som har hamnat i blåsväder under de senaste veckorna. Förra veckan avslöjade Crowdstrike att den kinesiska modellen Deepseek-R1 genererade programmeringskod som, med högre sannolikhet, innehöll sårbarheter om användaren nämnde ämnen som är politiskt känsliga för kinesiska kommunistpartiet. Faktumet att Deepseeks molntjänst är hårt censurerad är ingen nyhet (lyssna på avsnitt 286 av Bli säker-podden), men Crowdstrikes avslöjande gällde inte molntjänsten utan själva modellen. Crowdstrike körde modellen i egen regi och kunde därmed påvisa att det är modellen i sig som är problematisk. I veckans podd pratar Peter och Nikka om dessa orosmoln som nu har visat sig vara befogade att ta på allvar. Podduon bekymrar sig också över ett nytt orosmoln som Microsoft har skapat: Windows-chefen har precis twittrat att Windows ska bli ett AI-agentbaserat operativsystem. Se fullständiga shownotes på https://go.nikkasystems.com/podd328.

Angripare behöver inte besitta någon större teknisk kompetens för att utföra sofistikerade nätfiskeattacker. Kriminella aktörer säljer färdiga nätfiskeverktyg som angriparna kan utnyttja för att försöka stjäla inloggningsuppgifter. Under hösten har det rapporterats om hur två kommersiella nätfiskeverktyg har lagt till stöd för så kallade browser-in-the-browser-attacker. Det är en attacktyp där en webbsida skapar en ruta som ser ut som ett riktigt webbläsarfönster. I själva verket är rutan bara grafik som visas ovanpå resten av webbsidans innehåll. Eftersom den falska rutan inte är något äkta webbläsarfönster kan angriparna anpassa allt som visas däri, inklusive domänen i rutans falska adressfält. Den här typen av attack går att avslöja genom att försöka dra det falska webbläsarfönstret ut från webbsidan som det visas ovanpå. Om webbläsarfönstret är falskt är det omöjligt. Genom att använda en lösenordshanterare minimeras risken för att falla offer. En lösenordshanterare föreslår bara inloggningsuppgifter som är kopplade till domänen för webbsidan som visas. Eftersom det falska webbläsarfönstret är en del av en aldrig tidigare besökt webbsida har lösenordshanteraren inga sparade inloggningsuppgifter att föreslå. Microsoft har också noterat att de så kallade Clickfix-attackerna blir alltmer sofistikerade. Angripare har bland annat börjat dra nytta av webbsidor som visar falska blåskärmar. Webbsidorna efterliknar de blå Windows Update-skärmarna och öppnas i helskärmsläge. För ovana datoranvändare är det svårt att se skillnad på en riktig Windows Update-skärm och en webbsida som simulerar en sådan men i själva verket instruerar användaren att infektera sin egen dator. I veckans podd pratar Peter och Nikka om de innovativa webbläsarattackerna och vad användare bör göra för att inte falla offer. Podduon pratar också om vad som orsakade tisdagens stora internetproblem. Nikka går även igenom Nordpass lista över Sveriges vanligaste lösenord och konstaterar att listan är helt orimlig. Se fullständiga shownotes på https://go.nikkasystems.com/podd327.

Förra veckan släppte nyhetsbyrån Reuters ett stort avslöjande. Reuters hade fått tag i interna dokument från Meta. Dessa dokument bekräftade farhågorna som länge funnits kring alla bluffannonser som förpestar Metas sociala medier. Reuters konstaterade att Meta inte bara är medvetna om problemet. Meta väljer att låta det fortgå eftersom intäkterna är större än de sannolika sanktionsavgifterna. Enligt Metas interna dokument kommer omkring tio procent av Metas totala årliga omsättning från annonser för bedrägerier och förbjudna varor. Det rör sig om över hundra miljarder svenska kronor. Metas presstalesperson Andy Stone svarade Reuters att siffran var överinkluderande men ville inte uppge någon annan siffra. I veckans poddavsnitt blickar Peter och Nikka tillbaka på några av de många bedrägliga annonskampanjer som podden har uppmärksammat genom åren. Med Reuters avslöjande i åtanke är Metas agerande mer förståeligt. Faktumet att redan ertappade bedragare får fortsätta publicera nya bluffannonser har sin naturliga förklaring. I stället för att spärra misstänkta annonsörer höjer Meta annonspriserna. Se fullständiga shownotes på https://go.nikkasystems.com/podd326.

Under 2010-talet började ett av internets största säkerhetsproblem nå sin lösning. Fram till mitten av 2010-talet var det mindre än hälften av världens webbsidesbesök som gjordes över säkra anslutningar (HTTPS). Det innebar att angripare på publika wifi-nätverk kunde se vad användarna gjorde på nätet. Angriparna kunde till och med ändra i innehållet på webbsidorna som användarna besökte. Värst av allt var att kakorna som höll användarna inloggade ofta skickades i klartext över samma osäkra anslutningar. Genom att avlyssna trafiken och kopiera dessa kakor kunde angripare inte bara se vad användarna gjorde på nätet. Angriparna kunde ta över användarnas konton. Detta var ett av huvudskälen till att alla som anslöt till publika wifi-nätverk behövde en VPN-tjänst för att hålla trafiken säker. År 2025 är problemet nästan löst. Alla stora webbplatser stödjer säkra anslutningar och våra webbläsare uppgraderar automatiskt osäkra anslutningar (HTTP) till säkra anslutningar (HTTPS). De enda problemen som kvarstår är en liten skara webbplatser som slarvar med säkerheten samt risken för så kallade degraderingsattacker (angripare som lurar webbläsare att webbplatser inte stödjer säkra anslutningar). För att råda bukt på de sista problemen har Google precis meddelat att de tänker aktivera ”Endast HTTPS-läget” som standard för alla Chrome-användare. Ändringen träder i kraft om ett år i oktober 2026. I veckans podd pratar Peter och Nikka om hur anslutningssäkerheten på nätet har förbättrats under de senaste 15 åren. Podduon pratar också om ”djupt provocerande” reklam för säkerhetskopiering och om vad som händer med massövervakningsförslaget Chat Control 2.0 nu när kravet på bakdörrar i totalsträckskrypterade meddelandeappar ser ut att strykas. Se fullständiga shownotes på https://go.nikkasystems.com/podd325.

Under veckan har det rapporterats frekvent om en ny stor lösenordsläcka. Mejladresser och lösenord till 183 miljoner konton påstås ha läckt ut. Brittiska Independent publicerade en brådskande varning till alla Gmail-användare med anledning av läckan. I själva verket handlade nyheten, som vanligt, om en ny paketering av tidigare stulna inloggningsuppgifter. Säkerhetsföretaget Synthient hade sammanställt dataläckor som florerade i den undre världen och överlämnat samlingen till världens de facto nav för lösenordsläckor, ”Have I Been Pwned”. Dessa inloggningsuppgifter berörde inte enbart Gmail-konton, och det var inte ens Google som hade läckt dem. Inloggningsuppgifterna hade stulits av spionprogram på användarnas datorer. Även om rubrikerna var överdrivna var samlingen av läckta lösenord anmärkningsvärd. Bland de läckta inloggningsuppgifterna fanns nämligen lösenord till över 16 miljoner tidigare okända mejladresser. Dessa mejladresser hade aldrig synts till i någon tidigare läcka som kommit ”Have I Been Pwned” tillkänna. I veckans podd pratar Peter och Nikka om vad lösenordssamlingen innebär för de berörda användarna. Podduon förklarar varför dessa ständigt återkommande lösenordsläckor visar på vikten av att gå över till nyckelinloggning snarast möjligt. Peter och Nikka följer också upp förra veckans diskussion om webbläsaren ChatGPT Atlas, summerar attacken mot Svenska kraftnät och berättar vad som egentligen hände i onsdags när många webbplatser blev oåtkomliga… igen. Se fullständiga shownotes på https://go.nikkasystems.com/podd324.

OpenAI har lanserat en ny webbläsare vid namn ”ChatGPT Atlas”. Webbläsaren har en inbyggd AI-agent. Till skillnad från traditionella chattbotar kan AI-agenten göra mer än att bara generera, översätta och summera texter. Den kan också utföra åtgärder på uppdrag av användaren. AI-agenten kan till exempel leta upp det bästa priset på en produkt och klicka sig igenom hela köpprocessen, från start till slut. Ny teknik medför samtidigt nya risker. OpenAI varnar själva för att AI-agenten kan vara sårbar för så kallade promptinjektionsattacker. Det är attacker där angripare lurar AI-agenten att ignorera de ursprungliga instruktionerna och i stället göra något helt annat. I värsta fall kan det leda till att AI-agenten stjäl information eller kapar användarens konton. I veckans podd pratar Peter och Nikka om promptinjektionsattacker. Attacktypen har redan visat sig vara möjlig att utföra mot andra AI-agenter, och OpenAI:s säkerhetschef erkänner öppet att promptinjektioner är ett hittills olöst säkerhetsproblem. Peters och Nikkas rekommendation blir därför, föga förvånande, att inte använda Atlas AI-agent i skarpt läge än. Nikka lyfter också problematiken kring en annan funktion som Atlas erbjuder: webbläsarminnen. Funktionen gör att webbläsarens chattbot minns vad användaren har gjort i webbläsaren, så att chattboten kan ge smartare förslag. Enligt Atlas konfigurationsguide är webbläsarminnena privata, men OpenAI:s supportdokumentation avslöjar att webbinnehållet skickas till OpenAI:s servrar. Se fullständiga shownotes på https://go.nikkasystems.com/podd323.

Runt omkring i världen införs krav på åldersverifiering på nätet. Storbritannien gick i bräschen och införde sådana krav innan det ens fanns lämpliga lösningar. Resultatet blev att många britter behövde verifiera sin ålder genom att ladda upp bilder på sina ID-handlingar, vilket föga förvånande har lett till att sådana bilder har hamnat på avvägar. EU vill inte upprepa britternas misstag och har utvecklat en mer genomtänkt lösning. Under sommaren lanserade EU-kommissionen en white-label-app med öppen källkod som kan ligga till grund för medlemsstaternas egna åldersverifieringsappar. Tekniken ska utvärderas av fem länder, däribland Danmark som lanserar en dansk åldersverifieringsapp nästa år. I veckans podd pratar Peter och Nikka om för- och nackdelarna med EU:s föreslagna lösning för åldersverifiering. Appen är designad så att ingen information om användaren läcker till webbplatserna som tillämpar åldersverifiering. Appen intygar att användaren är över 18 år utan att avslöja vem användaren är. Organisationen som går i god för användarens ålder, till exempel användarens bank, får inte heller reda på vilka webbplatser som användaren besöker. När användaren har konfigurerat appen klipps kopplingen till organisationen som verifierade användarens ålder. På så sätt uppnås sekretess i båda riktningar. Appen kan varken utnyttjas för att spåra användarens internetvanor eller för att röja användarens identitet. Tyvärr konstaterar Peter och Nikka att appen har två stora problem. För det första kräver appen en Iphone eller en Android-mobil. Appen har ingen version för Windows, Mac OS eller Linux. För det andra är Android-versionen beroende av Google Play. Det gör att appen förutsätter att användaren kör ett amerikanskt operativsystem och godkänner ett amerikanskt företags användarvillkor. Samtidigt som EU inför krav på åldersverifiering lägger unionen därmed kontrollen över medborgarnas webbplatsåtkomst i händerna på USA. Podduon konstaterar också att EU-medborgare som vill slippa verifiera sin ålder kan göra som många britter redan har valt att göra: använda en VPN-tjänst för att tunnla sin trafik till ett land utan krav på åldersverifiering. Se fullständiga shownotes på https://go.nikkasystems.com/podd322.

I över 20 år har det talats om ”the year of the Linux desktop”, det vill säga året då Linux börjar plocka stora marknadsandelar från Windows och Mac OS. Linux har sedan länge slagit igenom bland servrar, mobiler och surfplattor (Android), men på vanliga persondatorer har Linux haft svårt att konkurrera. Inför 2026 är Linux förutsättningar bättre än någonsin. Microsoft överger miljontals Windows-datorer när techjätten slutar underhålla Windows 10 och förhindrar uppgradering till Windows 11. Många övergivna Windows 10-datorer blir fullt användbara under många år framöver om de ominstalleras med Linux. I veckans podd pratar Peter och Nikka om vad som talar för att ”the year of the Linux desktop” slutligen inträffar. Avsaknaden på Linux-appar har minskat rejält. Drivrutinsproblematiken är mestadels löst. Användarvänligheten har ökat och det går numera till och med att spela populära spel på Linux. Kan 2026 bli året då Linux slår igenom på skrivbordsdatorerna? Är det i så fall Microsoft själva som har krattat manegen åt konkurrenten? Se fullständiga shownotes på https://go.nikkasystems.com/podd321.