Tankar om en möjlig svaghet i Signal-appen

Om man som jag har anmält sig för att köra beta-versionerna av Signal-appen för att hjälpa utvecklarna att hitta buggar så finns just nu en möjlig svaghet om man också kör Signal på en Linux-dator samtidigt som man kör Signal på sin Android-telefon.

Hur allvarlig svagheten är kan jag inte uttala mig om, men jag tänker att andra ska vara medvetna om problemet. Hur det är om man kör Signal på en iOS-telefon och/eller i kombination med en Windows/macOS-dator vet jag inte då jag inte har möjlighet att testa dessa kombinationer.

I Signals nuvarande beta-version för Android har man möjlighet att välja färg på vissa ikoner när man reagerar på ett mottaget meddelande, exempelvis tummen upp. Jag gissar att det är för att ens ikoner ska kunna anpassas så att de överensstämmer med den hudfärg man identifierar sig med.

Problemet är att om man inte kan använda samma hudfärg i Signals program för Linux. Den som tar emot meddelandet kan då, baserat på ikonens färg, veta om motparten använder sin telefonen (annan färg än original). Om man använder originalfärgen så kan motparten inte veta om man kör med telefonen eller med datorn.

I det första meddelandet har jag reagerat med en tumme upp från min Android-telefon.

På det andra meddelandet vet inte min motpart om jag reagerat från telefonen eller från min laptop.

Nu vill jag inte påstå att detta skulle vara en av 2020-talets allvarligaste svagheter, men det kan vara värt att ändå tänka på detta.

My laptop

After using Xubuntu since 2013, I have switched to Debian on my new laptop. The reasons are several, but the main reason is that Canonical now installs Snap packages even with a new installation of Xubuntu. I do not like Snap and then you have to look around for alternatives.

I installed Debian Testing with Xfce. Actually, I’m more of a Stable guy, but the processor in my laptop, an AMD Ryzen 7 PRO 3700U, will not work if I do not run the Linux kernel version 5.x (which in itself can be solved with backports). In addition, I am a radio amateur and in Debian Stable some packages that radio amateurs use are outdated.

I am super happy with my laptop and the choice of Debian Testing with Xfce.

Fortsättning på bloggposten om intrånget hos Twitter

Igår skrev jag en bloggpost med rubriken Kommentar om intrånget hos Twitter den 15 juli 2020 med några konkreta förslag till hur vi kan höja vår integritetsnivå när vi är online.

Mina tips handlade om att människan alltid är svagaste länken, att vi ska använda lösenordshanterare för att kunna komma ihåg mer komplexa lösenord än “förnamn2020” och att aktivera tvåfaktorsautentisering på alla sajter som erbjuder det. Vidare pratade jag litet om hur vi ska tänka på jobbet med tanke på att det verkar som att Twitter-anställda har klickat på länkar i till exempel mejl som gjort att det har installerats bakdörrar in i deras servermiljö.

Jag glömde ju naturligtvis en punk – se alltid till att din dator är uppdaterad, både vad gäller operativsystemet och de program du använder, så att du inte har en dator med kända säkerhetshål som Elake Erik kan utnyttja.

Kommentar om intrånget hos Twitter den 15 juli 2020

Om du är det minsta intresserad av IT-säkerhet eller om du är aktiv på sociala medier, mer än att du bara slösurfar på Facebook för att få arbetsdagen att gå litet fortare, så har du nog uppmärksammat att Twitter på kvällen den 15 juli 2020 utsattes för ett intrång som innebar att konton tillhörande bland andra Barack Obama, Bill Gates, Joe Biden, Elon Musk, Jeff Bezos och Kanye West började sprida falska tweets.

Twitterinläggen innehöll information om att om man satte in max ettusen US-dollar så skulle kontoinnehavaren sätta tillbaka det dubbla. Anledningen till att kontoinnehavaren skulle föra detta var för att de helt plötsligt kände att de “ville ge tillbaka” som ett uttryck för deras otroliga generositet.

Naturligtvis är detta bara ett nytt upplägg och en ny plattform på alla de typer av så kallade Nigeria-brev som cirkulerat runt och som tidigare lurat godtrogna människor.

I skrivande stund har en av de Bitcoin-adresser din följarna på Twitter uppmanats skicka pengarna fått in över en miljon svenska kronor (källa).

Enligt bland andra idg.se och coindesk.com så möjliggjordes intrånget genom att anställda på Twitter lurades att klicka på länkar som gav hackarna access till personalens datorer och därmed fick de, om jag förstår saken rätt, tillgång till verktyg rakt in i Twitters databaser.

Det kan i sammanhanget vara värt att påminna om några saker runt IT-säkerhet:

Människan är alltid svagaste länken

Det som är för bra för att vara sant är aldrig sant. Det är alltså inte bara sällan sant – det är aldrig sant!

Du ska aldrig klicka på länkar i mejl eller chattmeddelanden du får dig tillsänt om du inte har bett om en länk från en vän eller kollega. Om meddelandet är från en sajt som du känner till så är det ändå bättre att surfa in på sajten och logga in där så att du i någon mån vet att du hamnar på rätt sajt.

Stäng av automatisk nerladdning av bilder o HTML i din mejlklient för att minska risken att Elake Erik, som är den verklige avsändaren av mejlet, kan se att du läst mejlet.

Tvåfaktorsautentisering

Att använda något mer sätt än bara ett lösenord för att logga in på en sajt höjer säkerheten många gånger om – under förutsättning att hackarna inte gör som de verkar ha gjort hos Twitter under gårdagens intrång. Med andra ord så ska tvåfaktorsautentisering användas om det finns att tillgå. Kärt barn har många namn, men sök efter U2F eller 2FA på sajter där du brukar logga in.

Välj i första hand annan metod än via mejl/SMS eftersom man relativt enkelt kan kapa en mejladress eller ett telefonnummer. Har leverantören eller sajten du brukar besöka inte stöd för U2F/2FA så tjata på dem, gärna i sociala medier – eller byt leverantör för att visa din konsumentmakt.

Lösenordshanterare

Använd lösenordshanterare och spara aldrig lösenord i webläsaren!

Lagra inte lösenordsfilen i molnet även om den är krypterad för det som kan läcka det kommer att läcka och du kan inte veta om din idag säkra kryptering är säker om två år.

Ett tips på en bra lösenordshanterare är KeePassXC som enkelt integreras i webbläsarna Firefox och Chrome med enenkel och lättanvänd add-on. Nej, jag har inte kompetensen att bedöma att KeePassXC är bra, men det är den lösenordshanterare som ingår i Tails och därmed känner jag mig trygg med att kompetenta människor har undersökt KeePassXC.

Använd aldrig samma lösenord på mer än en sajt.

På jobbet

Logga ut din dator när du går på rast eller innan du sätter dig i möte med chefen som ska skälla på dig för att du inte klickade på länken i mejlet som han eller hon skickade dig. Du vet nämligen aldrig vad din kollega gör med din dator (av okunskap eller illvilja) när du vänder ryggen till.

Ha inte lösenordet till din jobbdator på en post-it-lapp på skärmkanten!Grundregeln är att du aldrig ska skriva upp lösenord.

Använder du en lösenordshanterare och har nyckelfilen på en USB-sticka som du alltid har med dig mellan hemmet och jobbet (kolla att du får sätta i en sticka på jobbdatorn som du haft i din privata dator) så behöver du bara kunna tre lösenord (jobbdator, privat dator, lösenordshanterarens databas) utantill – plus telefon, padda, portkod och kreditkort så klart. Är du osäker på ett konstigt mejl etc om huruvida det är fejk eller inte så fråga en kollega eller IT-avdelningen.

I’m now a Debian user

I’ve been a Linux user since 2001. From 2011 (or maybe 2010) Linux has been my primary operating system using first Ubuntu and later, from 2013, Xubuntu. I’ve always used the long-term support versions as I prefer a very stable system.

Early 2020 I found out that the snap packaging system is mandatory and being an old and grumpy man I prefer the old-school repository way to install software packages.

In May 2020 I ordered a new laptop, a Lenovo Thinkpad T495. I decided to change Linux distribution from Xubuntu to Debian. I started to install Debian Buster, the stable version of Debian together with Debian Buster-Backports to get the latest kernel to gain advantage of the processor in my T495 (AMD Ryzen 7 Pro 3700U).

Quite soon I found out that several software packages I use as radio amateur are out-dated in Debian Buster. I tried to mix Buster (stable) with Debian Bullseye, the testing version of Debian. The mix of Buster and Bullseye was very problematic already after a day or two and I reinstalled my laptop, now using Debian Bullseye.

After a day or two of configuring my laptop it is now up and running pretty much as I like to have it configured.

From now on I promise to be Debian loyal, at least as long as Debian does not force me to use snap or flatpack packaging software!

Facebook vs Covid-19

It is estimated that each person infected with Covid-19 transmits the virus to 2.5 other people (I have seen numbers from 2.2 to just under 3 people). We can all see what Covid-19 is all about, right?

How many see your posts on Facebook and how many share them? Do you share posts yourself? I suspect that a post on Facebook is viewed, liked and shared by more than 2.5 people. In other words, the spread rate of crap in social media is even higher than Corona’s spread.

One problem with lies online is that there will never be any vaccine against news that sounds credible but contains factual errors.

If we now have to wash our hands frequently with soap and water and isolate ourselves if we have symptoms of Corona, then the authorities should be equally encouraged to not share posts where we have not checked the source. To be a bit more source-critical, simply.

If you think Covid-19 is spreading fast, fake news is spreading even faster and you never know who is the sender or what is the sender’s purpose with a post.

The latest iteration of the user-friendly Linux desktop distribution is now available.

Linux Magazine

Right on schedule, Canonical has released the latest version of the Ubuntu desktop. Focal Fossa includes plenty of new features that should excite any and all Linux and Ubuntu fans. This latest iteration of the Ubuntu desktop is an LTS (Long Term Support) release, which means it will be supported until 2025.

Focal Fossa is built upon the Linux 5.4 kernel (which is also an LTS release).

One of the most anticipated features included with 20.04 is the Wireguard VPN service, which is built-in at the kernel level and is significantly easier to setup than a traditional VPN. Wireguard is also more secure than other solutions, partially because it is implemented within the kernel and is limited to using only new and more secure cryptographic protocols.

Another big addition to Ubuntu 20.04 is GNOME 3.36, which includes a long-overdue revamping of the login screen. GNOME 3.36 enjoys a boost in performance, a new Do Not Disturb button, fractional scaling, the ability to remove the dock, even more snap support in GNOME Software, more default theme variants (which can now be selected from within Settings, instead of having to install the GNOME Tweaks tool), faster boot times, and improved ZFS support.

Full article

Vad är det Bianca Ingrosso inte fattar?

Foto: Instagram

Stackars Bianca Ingrosso… enligt Expressen ville hon ha äggröra men kunde inte få det på sin brunch med mamma Pernilla.

Skulle köket ha gjort äggröra till henne så skulle de ha behövt ta betalt för rätten och då hade nog Bianca skrivit ner restaurangen för det eftersom bruncher väl brukar vara av buffétyp där allt ingår till ett fast pris, tänker jag. Ett Moment 22 för krögaren med andra ord.

Bianca vet ju så klart att krögaren som driver restaurangen hon skriver ner på Instagram inte kan svara med samma mynt. Dels för att man inte gör så och dels för att krögaren inte tjänar något på det. Därmed borde Bianca tänka sig för mycket noga innan hon i affekt postar sina meningslösa inlägg i sociala medier, tänker jag.