Bakgrund I höst kommer Post- och Telestyrelsen auktionera ut 5G-frekvenser till mobiloperatörer [2]. Tilldelningen ska främja kapaciteten för mobila bredbandstjänster och skapa en plattform för den kommande 5G-utbyggnaden. För den som är villig att delta i Sveriges kommande 5G-utrullning kommer ett lägsta bud i tilldelningen att kosta 1.5 miljarder kronor i 3.5 GHz-bandet och 160 […]
EU-domstol har nu fastslagit i målet Schrems II att Privacy Shield, mekanismen för självcertifiering för att garantera tillräcklig skyddsnivå vid överföring av personuppgifter till USA, ogiltigförklaras [1]. Dock ansåg domstolen att standardavtalsklausuler fortfarande kan användas. Veckans blogg ger sammanhang och bakgrund för detta, förklarar varför det är problematiskt för organisationer som nyttjar amerikanskägda molntjänster, samt […]
Jag fick tidigare under sommaren möjligheten till att lära mig om en ny approach till säkerhetstester. Denna gång i form av attacker mot skrivbordsapplikationer, och huvudsakligen Electron-baserade applikationer. För er som inte är välbekanta med Electron-applikationer så kan de summeras som en kombination av skrivbordsapplikationer och webbapplikationer. Bland annat så renderas GUI med CSS och […]
En välkänd pekpinne inom IT-säkerhet är att främmande USB-minnen under inga omständigheter ska anslutas till organisationens utrustning. Det klassiska angreppet går ut på att lämna en USB-sticka på en publik plats, i förhoppningen att den som hittar detta ansluter det till en dator. Den här bloggen handlar om O.MG Cable som är ett verktyg för […]
Zoom kommer bara att erbjuda end-to-end kryptering till betalande användare https://threatpost.com/zoom-end-to-end-encryption-paying-users/156286/ Och här finns ett dokument som beskriver den troliga implementationen https://github.com/zoom/zoom-e2e-whitepaper/blob/master/zoom_e2e.pdf SMBv3 fortsätter att spöka till det. SMBGhost är en PoC för att utnyttja en sårbarhet i SMBv3 som kan tillåta en angripare att exekvera kod, sårbarheten i sig är inte ny, men nu […]
När Washington Post den 11 februari i år publicerade att det Schweiziska företaget Crypto AG i själva verket varit en front för den amerikanska underrättelsetjänsten CIA, så upplevdes det som en chock för många av oss i säkerhetsgemenskapen[1]. Artikeln i Washington post beskrev hur CIA, tillsammans med den tyska underrättelsetjänsten BND, 1970 hade köpt det […]
Flera länder, däribland Storbritannien har implementerat lagar (RIPA) där polisen utan ett domstolsbeslut kan begära att en användare uppger sina krypteringsnycklar för hårddiskkryptering [1]. Detta har lett till att det uppstått ett behov av att dölja själva existensen av krypterade hårddiskvolymer. Steganografi Läran om att försöka dölja data eller meddelanden kallas steganografi och har en […]
Apple har patchat den sårbarhet som gjorde jailbreaken Unc0ver möjlig https://www.zdnet.com/article/apple-releases-ios-13-5-1-with-security-fixes-breaks-recent-unc0ver-jailbreak/ https://support.apple.com/en-us/HT211214 En bild med felaktig/alltför omfattande color space får Androidtelefoner att krasch-loopa om den sätts som bakgrund https://www.bbc.com/news/technology-52891650/ Det fortsätter trilla in sårbarheter i Zoom, dessa har dock åtgärdats innan de blev publikt kända. Talos skriver att det kan behövas en fix på klient-sidan för […]
Samtal via Signal kan avslöja information om din position https://medium.com/tenable-techblog/turning-signal-app-into-a-coarse-tracking-device-643eb4298447 Unc0ver – Ny 0-day jailbreak som fungerar för iOS 11 till iOS 13.5 https://www.zdnet.com/article/new-unc0ver-jailbreak-released-works-on-all-recent-ios-versions/ https://unc0ver.dev/ Strax under 100 000 skickade lösenord i klartext kunde observeras under 4 dagar på årets RSA-konferens publika WiFi (bättre än förra året). Årets SOC-rapport:https://go.rsaconference.com/rsac365-dbt/dbt-40-soc2020 Microsoft informerar om ett nytt ransomware, […]
Här på Simovits jobbar vi med informationssäkerhet, vilket typiskt innefattar det att säkerställa dess konfidentialitet, riktighet och tillgänglighet. I dagens blogg tänker jag vända lite på denna tolkning av termen informationssäkerhet. Bloggen kommer inte att handla om hur vi håller vår data säker, utan om hur vi håller oss säkra från vår data. Temat är […]