Under 2010-talet började ett av internets största säkerhetsproblem nå sin lösning. Fram till mitten av 2010-talet var det mindre än hälften av världens webbsidesbesök som gjordes över säkra anslutningar (HTTPS). Det innebar att angripare på publika wifi-nätverk kunde se vad användarna gjorde på nätet. Angriparna kunde till och med ändra i innehållet på webbsidorna som användarna besökte.
Värst av allt var att kakorna som höll användarna inloggade ofta skickades i klartext över samma osäkra anslutningar. Genom att avlyssna trafiken och kopiera dessa kakor kunde angripare inte bara se vad användarna gjorde på nätet. Angriparna kunde ta över användarnas konton. Detta var ett av huvudskälen till att alla som anslöt till publika wifi-nätverk behövde en VPN-tjänst för att hålla trafiken säker.
År 2025 är problemet nästan löst. Alla stora webbplatser stödjer säkra anslutningar och våra webbläsare uppgraderar automatiskt osäkra anslutningar (HTTP) till säkra anslutningar (HTTPS). De enda problemen som kvarstår är en liten skara webbplatser som slarvar med säkerheten samt risken för så kallade degraderingsattacker (angripare som lurar webbläsare att webbplatser inte stödjer säkra anslutningar).
För att råda bukt på de sista problemen har Google precis meddelat att de tänker aktivera ”Endast HTTPS-läget” som standard för alla Chrome-användare. Ändringen träder i kraft om ett år i oktober 2026.
I veckans podd pratar Peter och Nikka om hur anslutningssäkerheten på nätet har förbättrats under de senaste 15 åren. Podduon pratar också om ”djupt provocerande” reklam för säkerhetskopiering och om vad som händer med massövervakningsförslaget Chat Control 2.0 nu när kravet på bakdörrar i totalsträckskrypterade meddelandeappar ser ut att strykas.
Se fullständiga shownotes på https://go.nikkasystems.com/podd325.
--------
38:16
--------
38:16
#324 Google har inte läckt miljoner lösenord
Under veckan har det rapporterats frekvent om en ny stor lösenordsläcka. Mejladresser och lösenord till 183 miljoner konton påstås ha läckt ut. Brittiska Independent publicerade en brådskande varning till alla Gmail-användare med anledning av läckan.
I själva verket handlade nyheten, som vanligt, om en ny paketering av tidigare stulna inloggningsuppgifter. Säkerhetsföretaget Synthient hade sammanställt dataläckor som florerade i den undre världen och överlämnat samlingen till världens de facto nav för lösenordsläckor, ”Have I Been Pwned”.
Dessa inloggningsuppgifter berörde inte enbart Gmail-konton, och det var inte ens Google som hade läckt dem. Inloggningsuppgifterna hade stulits av spionprogram på användarnas datorer.
Även om rubrikerna var överdrivna var samlingen av läckta lösenord anmärkningsvärd. Bland de läckta inloggningsuppgifterna fanns nämligen lösenord till över 16 miljoner tidigare okända mejladresser. Dessa mejladresser hade aldrig synts till i någon tidigare läcka som kommit ”Have I Been Pwned” tillkänna.
I veckans podd pratar Peter och Nikka om vad lösenordssamlingen innebär för de berörda användarna. Podduon förklarar varför dessa ständigt återkommande lösenordsläckor visar på vikten av att gå över till nyckelinloggning snarast möjligt.
Peter och Nikka följer också upp förra veckans diskussion om webbläsaren ChatGPT Atlas, summerar attacken mot Svenska kraftnät och berättar vad som egentligen hände i onsdags när många webbplatser blev oåtkomliga… igen.
Se fullständiga shownotes på https://go.nikkasystems.com/podd324.
--------
36:09
--------
36:09
#323 En dubbelagent i webbläsaren
OpenAI har lanserat en ny webbläsare vid namn ”ChatGPT Atlas”. Webbläsaren har en inbyggd AI-agent. Till skillnad från traditionella chattbotar kan AI-agenten göra mer än att bara generera, översätta och summera texter. Den kan också utföra åtgärder på uppdrag av användaren. AI-agenten kan till exempel leta upp det bästa priset på en produkt och klicka sig igenom hela köpprocessen, från start till slut.
Ny teknik medför samtidigt nya risker. OpenAI varnar själva för att AI-agenten kan vara sårbar för så kallade promptinjektionsattacker. Det är attacker där angripare lurar AI-agenten att ignorera de ursprungliga instruktionerna och i stället göra något helt annat. I värsta fall kan det leda till att AI-agenten stjäl information eller kapar användarens konton.
I veckans podd pratar Peter och Nikka om promptinjektionsattacker. Attacktypen har redan visat sig vara möjlig att utföra mot andra AI-agenter, och OpenAI:s säkerhetschef erkänner öppet att promptinjektioner är ett hittills olöst säkerhetsproblem. Peters och Nikkas rekommendation blir därför, föga förvånande, att inte använda Atlas AI-agent i skarpt läge än.
Nikka lyfter också problematiken kring en annan funktion som Atlas erbjuder: webbläsarminnen. Funktionen gör att webbläsarens chattbot minns vad användaren har gjort i webbläsaren, så att chattboten kan ge smartare förslag. Enligt Atlas konfigurationsguide är webbläsarminnena privata, men OpenAI:s supportdokumentation avslöjar att webbinnehållet skickas till OpenAI:s servrar.
Se fullständiga shownotes på https://go.nikkasystems.com/podd323.
--------
34:59
--------
34:59
#322 En inte helt vansinnig åldersverifiering
Runt omkring i världen införs krav på åldersverifiering på nätet. Storbritannien gick i bräschen och införde sådana krav innan det ens fanns lämpliga lösningar. Resultatet blev att många britter behövde verifiera sin ålder genom att ladda upp bilder på sina ID-handlingar, vilket föga förvånande har lett till att sådana bilder har hamnat på avvägar.
EU vill inte upprepa britternas misstag och har utvecklat en mer genomtänkt lösning. Under sommaren lanserade EU-kommissionen en white-label-app med öppen källkod som kan ligga till grund för medlemsstaternas egna åldersverifieringsappar. Tekniken ska utvärderas av fem länder, däribland Danmark som lanserar en dansk åldersverifieringsapp nästa år.
I veckans podd pratar Peter och Nikka om för- och nackdelarna med EU:s föreslagna lösning för åldersverifiering. Appen är designad så att ingen information om användaren läcker till webbplatserna som tillämpar åldersverifiering. Appen intygar att användaren är över 18 år utan att avslöja vem användaren är.
Organisationen som går i god för användarens ålder, till exempel användarens bank, får inte heller reda på vilka webbplatser som användaren besöker. När användaren har konfigurerat appen klipps kopplingen till organisationen som verifierade användarens ålder. På så sätt uppnås sekretess i båda riktningar. Appen kan varken utnyttjas för att spåra användarens internetvanor eller för att röja användarens identitet.
Tyvärr konstaterar Peter och Nikka att appen har två stora problem. För det första kräver appen en Iphone eller en Android-mobil. Appen har ingen version för Windows, Mac OS eller Linux. För det andra är Android-versionen beroende av Google Play. Det gör att appen förutsätter att användaren kör ett amerikanskt operativsystem och godkänner ett amerikanskt företags användarvillkor. Samtidigt som EU inför krav på åldersverifiering lägger unionen därmed kontrollen över medborgarnas webbplatsåtkomst i händerna på USA.
Podduon konstaterar också att EU-medborgare som vill slippa verifiera sin ålder kan göra som många britter redan har valt att göra: använda en VPN-tjänst för att tunnla sin trafik till ett land utan krav på åldersverifiering.
Se fullständiga shownotes på https://go.nikkasystems.com/podd322.
--------
38:46
--------
38:46
#321 Microsoft lämnar walkover till Linux
I över 20 år har det talats om ”the year of the Linux desktop”, det vill säga året då Linux börjar plocka stora marknadsandelar från Windows och Mac OS. Linux har sedan länge slagit igenom bland servrar, mobiler och surfplattor (Android), men på vanliga persondatorer har Linux haft svårt att konkurrera.
Inför 2026 är Linux förutsättningar bättre än någonsin. Microsoft överger miljontals Windows-datorer när techjätten slutar underhålla Windows 10 och förhindrar uppgradering till Windows 11. Många övergivna Windows 10-datorer blir fullt användbara under många år framöver om de ominstalleras med Linux.
I veckans podd pratar Peter och Nikka om vad som talar för att ”the year of the Linux desktop” slutligen inträffar. Avsaknaden på Linux-appar har minskat rejält. Drivrutinsproblematiken är mestadels löst. Användarvänligheten har ökat och det går numera till och med att spela populära spel på Linux. Kan 2026 bli året då Linux slår igenom på skrivbordsdatorerna? Är det i så fall Microsoft själva som har krattat manegen åt konkurrenten?
Se fullständiga shownotes på https://go.nikkasystems.com/podd321.
“Bli säker” är podden som gör dig lite säkrare för varje vecka som går. Karl Emil Nikka och Peter Esse diskuterar dagens IT-säkerhetsutmaningar varvat med de senaste säkerhetsnyheterna och lyssnarnas frågor.
Podden produceras av Nikka Systems och SSF Stöldskyddsföreningen. Avsnitten publiceras under CC BY 4.0-licens.
Sverige