Simovits
Äldre inlägg

Cryptopals – del “2” av ?

(Del 1 ) Troligtvis har folk väntat som ekoxar på nästa del i denna fantastiska ”bloggserie” om Cryptopals, och nu är den äntligen här! (*författaren har ingen aning om ifall ekoxar överhuvudtaget väntar på saker*). Den ursprungliga tanken med denna bloggserie var att metodiskt och pedagogiskt gå igenom uppgifterna från cryptopals.com i tur och ordning […]

Lax som default: Förstärkt skydd mot CSRF-angrepp i Google Chrome

Den som följer nyheterna inom IT-säkerhet kan lätt känna sig lite uppgiven av det ständiga flödet av kritiska sårbarheter, dataläckor och angrepp. För att lätta upp handlar därför det här blogginlägget om en positiv nyhet. Att surfa med Chrome kommer nämligen, åtminstone i vissa avseenden, bli säkrare från och med version 80 som släpps den […]

Likheter mellan granskningar och utredningar

Granskningar och utredningar är centrala begrepp inom säkerhetsbranschen, men begreppen är inte helt entydiga och det kan vara intressant att gå igenom likheter och skillnader mellan dessa uppdrag. När man ser likheterna så blir man normalt också bättre på att utföra respektive uppdrag, men man får också en ökad förståelse för skillnaderna och vad som […]

20 år sedan Y2K-buggen, då inget hände!

I det här blogginlägget vill jag uppmärksamma den typ av hysteri som ibland driver utvecklingen framåt. (Nu senast införandet av GDPR.) Vi människor har mycket av ett flockbeteende särskilt då vi målar upp olika typer av rädslor, så som rädsla för jordens undergång, men även rädsla för skeenden och nya lagar. Nu när jag skriver […]

Varför är det så lite reaktioner på CLOUD Act? – del 2

Denna blogg är en fortsättning på ett tidigare blogginlägg som berörde CLOUD Act och GDPR [1], och kommer beröra problemen som är associerade med användningen av amerikanska molntjänster. Bakgrund I mars 2018 antogs CLOUD Act i USA i syfte att underlätta för amerikanska myndigheter att inhämta data från amerikanska IT-bolag. Detta som svar på en […]

Om CISA BOD 20-1

Den amerikanska myndigheten Cybersecurity and Infrastructure Security Agency (CISA) som etablerades 2018 [1] har inom sitt myndighetenuppdrag att skriva, förvalta och följa upp efterlevnad av lagar av typen Binding Operational Directive (BOD) [2]. Utgångsläget är att dessa BODs gäller för alla exekutiva federala myndigheter [3][4]. Den 27:e November kommunicerade myndigheten att ett utkast till BOD […]

Python 2 är dött, leve Python 2!

Det är nu drygt en månad kvar av det nuvarande året, och med det närmare sig döden för Python 2. Efter första januari 2020 kommer väsentligen allt officiellt stöd för Python 2 försvinna, inklusive utfärdandet av nya säkerhetsuppdateringar. Mängden program ute i det vilda som är skrivna i det äldre Python 2 är dock så […]

Enkelt verktyg för subdomän-skanning

Om man i sin verksamhet använder sig av subdomäner för att avskilja olika internetbaserade tjänster så är det viktigt att komma ihåg att inaktivera subdomänen då den inte används längre. Särskilt viktigt är det förstås ifall subdomänen pekar mot en domän som man själv inte har kontroll över. Det finns exempelvis användningsfall där man använder […]

Utfall av införandet av GDPR efter 1.5 år i siffror

Införandet av EU:s nya dataskyddsregler (GDPR) 2018 skedde framförallt för att stärka individers rätt till att i högre utsträckning veta och ha möjlighet att påverka hur företag hanterar deras personuppgifter. Införandet innebar avsevärt förberedande arbete för de som behandlar personuppgifter, vilket i princip inte uteslöt något företag eller organisation, förening eller branschsektor. För att visa […]

Ut ur lådan

Jag har vid många uppdrag stött på låsta klienter som är tänkta att användas för ett specifikt syfte eller för en specifik applikation. Dessa klienter återfinns ofta på publika platser eller via en mellanhands-applikation så som RDP eller Citrix, och vid många tillfällen är dessa otillräckligt skyddade. Det är här den roliga delen börjar. Scenariot. […]