Den årliga tävlingen Pwn2Own är en tävling där ”hackers” från hela världen samlas och försöker hitta zero-days till olika mjukvaror. För er som inte är bekanta med zero-days, så är det sårbarheter i mjukvaror som inte är kända för mjukvaruleverantören. Vilket innebär att leverantören inte har vetskap om att deras mjukvara besitter säkerhetsbrister och dagen […]
Under sommaren 2020 drabbades Garmin av en störning i sina IT-system som det tog närmare en vecka att helt avhjälpa. Utanför företaget märktes störningen främst som en otillgänglighet för användare av online tjänster för exempelvis registrering av träningshistorik från sportklockor. Men även betaltjänster och uppdateringar av navigeringssystem för flygtrafik kan ha påverkats. Garmin har hittills […]
När Washington Post den 11 februari i år publicerade att det Schweiziska företaget Crypto AG i själva verket varit en front för den amerikanska underrättelsetjänsten CIA, så upplevdes det som en chock för många av oss i säkerhetsgemenskapen[1]. Artikeln i Washington post beskrev hur CIA, tillsammans med den tyska underrättelsetjänsten BND, 1970 hade köpt det […]
Internet skannas nu med publika exploits efter tomcat-servrar sårbara mot CVE-2020-1938 (a.k.a. Ghostcat). Den bakomliggande bristen är att anslutningar via AJP getts högre behörigheter än dem via HTTP i Tomcat. AJP är också som default aktiverat och kräver ingen autentisering. Finns i webbapplikationen möjlighet att ladda upp filer kan bristen leda till fjärrexekvering av kod. […]
Röststyrda enheter lyssnar på vad du säger så noga att de inte ska missa sitt start-up kommando så de för säkerhets skull startar upp till 19 gånger om dagen på snarlika ljud. Vad lyssnar de på då? https://moniotrlab.ccis.neu.edu/smart-speakers-study/ Jobbig bugg i Exchange. Finns det en opatchad Exchange server och förövaren har tillgång eller skaffar sig […]
Jammer: Med hjälp av ultraljud kan denna Device blockera mikrofoner så som Alexa, mikrofonen på telefonen mm. En ny uppfinning som alla kommer att behöva för att skydda sin integritet. Open source och ritningar på github. http://sandlab.cs.uchicago.edu/jammer/ Valsäkerhet: Voatz, en app som har använts och är tänkt att användas i vissa val i USA har […]
När cybersäkerhet diskuteras, utgår diskussionen ofta utifrån att cyberkrig och cyberförsvar är ett koncept och inte en företeelse. På något sätt har det i Sverige blivit en fråga där långsiktiga mål definieras istället för att det ska bli ett prioriterat område inom totalförsvaret. Genom att sammanställa de angrepp som skett mellan länder sedan 2006 går […]
Idag, fredag den 1 mars 2019 höll jag en presentation på konferensen – International Conference on Cyber Warfare and Security (ICCWS) angående det examensarbete jag utförde på Simovits Consulting. Vi (Dennis och Mikael) skrev sedan om examensarbetet till en artikel och det var denna som presenterades på denna konferens i Sydafrika. Titeln på artikeln är […]
I slutet av januari varnade US-cert om en kampanj med syftet att kapa DNS-infrastruktur. DNS står för domännamnsstruktur och används till att adressera datorer på ett nätverk, d.v.s. mappar ett domännamn t.ex. simovits.com till en IP-adress. Kapningar av DNS:er innebär att angriparen har tillgång till att konfigurera DNS-poster och på så sätt styra om trafik […]
Idag är det Black Friday och folk kommer gå man ur huse för att handla något till ett synes extraordinärt pris. Under förra årets Black Friday dygn handlade svenskar prisnedsatta varor för 5.3 miljarder kronor och av dessa var 52 procent inhandlade på nätet[1]. När många ser detta dygn (och helg) som ett ypperligt tillfälle […]