För många år sedan skrev jag ett blogginlägg som handlade om hur du, som penetrationtestare, kan rymma från en app I kioskläge. I detta blogginlägg följer jag upp på det tidigare blogginlägget med fler trick som du kan använda för att rymma ut ur lådan. Först lite repetition Vi börjar med att repetera vad en […]
För fem år sedan skrev jag ett blogginlägg om minnessäkerhet där jag främst skrev om hur programkod i C och C++ kan skrivas säkrare eller exekveras i säkrare miljöer då brister i minnessäkerhet ofta leder till godtycklig-kodexekveringssårbarheter. I dag tänkte jag fokusera på skyddsåtgärder operativsystem implementerar för att förhindra exploatering av kompilerad kod. Operativsystemet kan […]
När AI gör fel I maj 2023 tvingades Air Canada betala skadestånd till en kund efter att bolagets AI-chatbot lovat en rabatt som inte existerade. skärmdumpar av AI:s felaktiga svar räckte som bevis [1]. Denna händelse är mer än en kuriosa; den är en varning för alla företag som använder AI. AI är inte magi. […]
Efter sex år, den 5 juli 2022, publicerade NIST, under viss mediauppståndelse, vinnande kryptoalgoritmer för kvantsäkra krypton [1]. En algoritm för kryptering och tre algoritmer för digitala signaturer. 2024 i augusti släppte NIST standarder för tre av dessa [2]. Efter publiceringen av vinnarna har många börjat fundera om de ska börja byta ut sina ordinarie kryptoalgoritmer mot […]
Efter en turbulent period som rest frågetecken om sammanhållningen mellan USA och EU uppstår det frågor om hur vi behöver förhålla oss till amerikanska tjänster inom olika områden. En del av konflikten gäller fördelningen av kostnader och risker för säkerhet och försvar där USA menar att Europa måste ta ett betydligt större ansvar för sin […]
Introduktion Avlyssning och ”överhörning” är ett välkänt hot inom vår bransch (informationssäkerhet). När konfidentiell information behöver delas eller diskuteras används vi förståss oss ofta samtal. En vanlig typ av intern styrning kring just samtal rörande konfidentiell information kan lyda något liknande: “Konfidentiell information får enbart yttras i företagets lokaler, samt i ett avskilt utrymme där […]
I takt med att marknaden för elektronisk övervakning och rena spionprylar växer så ökar behoven att kontrollera att lokaler och mötesrum är fria från okänd utrustning. Ansvaret att kontrollera trådlösa nätverk, bärbara datorer och mobiltelefoner ligger på företagets IT avdelning. Däremot hanteras sökning efter dold utrustning av särskild personal med utbildning och tillgång till olika […]
I detta blogginlägg tänkte jag presentera flera alternativ för att skapa Linux-kiosk-system. Kiosk-system exponerar en begränsad användarmiljö på ett system, det vill säga funktionaliteten en användare har tillgång till skall kunna räknas upp och verifieras vara tillåten för systemets användningsområde. Ett exempel skulle kunna vara en biljett-kiosk tänkas endast ge användarna tillgång till en webbläsare […]
Bakgrund I en AD-domän styrs en hel del behörigheter av säkerhetsgrupper, och med diverse arv och stort antal grupper etc. blir det snabbt oöverskådligt vilka grupper varje användare är med i. För att bibehålla en god säkerhetshälsa bör man regelbundet gå igenom behörigheter och verifiera att de fortfarande är aktuella, och rensa bort de som […]
