Perspektivet - Uke 17 - 2026

To SANS or not to SANS

Ikke noe deler det norske (operative) cybersikkerhetsmiljøet mer enn spørsmålet «Er SANS-kursene verdt prisen?». Mange sverger til dem, enkelte organisasjoner krever dem fra sine leverandører, arbeidsgivere legger dem alltid i stillingsannonsene, mens andre mener at verdien har sunket og prisene har gått opp. Uansett har SANS vært ensbetydende med cybersikkerhet i veldig lang tid. Jeg startet i cybersikkerhet i 2012, og allerede da var SANS gullstandarden for kurs innen cybersikkerhet. Men uansett hvor du havner i denne debatten, er det nå noe mer man må ta hensyn til. SANS er nå en leverandør for ICE, og dette bringer med seg enkelte etiske spørsmål. Flere tidligere SANS-ansatte har uttrykt skuffelse over at SANS vil gjøre forretninger med USAs immigrasjonsmyndigheter. Dette blir også et spørsmål for norske organisasjoner, men kanskje det er ikke så viktig i Norge?

Cybersikkerhet

Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain Campaign – The Hacker News

Denne droppet på fredag og gjorde veldig mange nervøse, da Bitwarden brukes i mange organisasjoner. Nok en gang var det et leverandørkjedeangrep som var årsaken, men mekanismen er verdt å forstå: en kompromittert GitHub Action fra Checkmarx ble brukt til å injisere ondsinnet kode i Bitwardens CI/CD-pipeline. Resultatet var at @bitwarden/cli@2026.4.0 ble publisert på npm med en trojanisert bw1.js-fil som stjal GitHub/npm-tokens, SSH-nøkler, miljøvariabler, skyhemmeligheter og konfigurasjon fra AI-kodeverktøy som Claude, Cursor og Codex CLI. Data ble eksfiltrert til domenet audit.checkmarx[.]cx, som etterlignet Checkmarx sitt eget domene. Eksponeringsvinduet var kort (ca. 90 minutter, 334 nedlastinger), og Bitwarden bekrefter at ingen brukerdata i hvelv ble kompromittert. Angrepet er knyttet til trusselaktøren TeamPCP og er del av det som kalles «Shai-Hulud: The Third Coming», en videreføring av leverandørkjedekampanjen som ble oppdaget i fjor. Interessant nok avslutter skadevaren kjøring dersom systemets lokale er satt til russisk.

Vercel attack fallout expands to more customers and third-party systems – CyberScoop

Enda et leverandørkjedeangrep. Vercel vurderer angriperen som «highly sophisticated» basert på hastigheten og forståelsen av Vercels API, men den initielle tilgangsvektoren var alt annet enn sofistikert: en ansatt hos Context.ai ble infisert med Lumma Stealer etter å ha søkt etter Roblox-juksekoder. Derfra tok angriperen over den ansattes Google Workspace via en kompromittert OAuth-app, som ga tilgang til en Vercel-ansatts konto, og videre inn i Vercels interne systemer. Vercel sier at et «lite antall» kunder er berørt, men nekter å oppgi tall. ShinyHunters har tatt på seg ansvaret, men Google Threat Intelligence Group mener det sannsynligvis er en etterligner. Vercel lager og vedlikeholder Next.js.

Mer informasjon:
Vercel April 2026 security incident – Vercel
Next.js Creator Vercel Hacked – SecurityWeek

Our response to the April 2026 incident – Lovable

Lovable, AI-utviklingsplattformen verdsatt til 6,6 milliarder dollar, hadde også en hendelse. En manglende tilgangskontroll i APIet (BOLA) gjorde at enhver bruker med en konto kunne lese andre brukeres kildekode, databaselegitimasjon, samtalehistorikk og kundedata. Sårbarheten ble rapportert via HackerOne allerede i februar, men ble avvist og lukket uten eskalering. Lovable mener den potensielle skaden var begrenset, men alle prosjekter opprettet før november 2025 var eksponert, og selskapet nektet først for at det var et databrudd i det hele tatt.

Mer informasjon:
Lovable security crisis – The Next Web
Business Insider

The zero-days are numbered – Mozilla Blog

Mozilla selv skriver om hvordan det var å jobbe med Mythos og hva det betyr for sårbarhetshåndtering fremover. Siden februar har Firefox-teamet brukt AI-modeller til å finne sikkerhetsfeil i nettleseren. Først fant Opus 4.6 22 sikkerhetsfeil som ble fikset i Firefox 148. Deretter ble en tidlig versjon av Claude Mythos Preview sluppet løs på kodebasen og fant 271 sårbarheter, alle fikset i Firefox 150. For kontekst: Mozilla fikset omtrent 73 alvorlige Firefox-sårbarheter i hele 2025. Mozillas konklusjon er at Mythos er like kapabel som verdens beste sikkerhetsforskere, og at de ikke har funnet noen kategori av sårbarhet som mennesker finner som modellen ikke også finner. Samtidig har de heller ikke sett feil som en elite-forsker ikke kunne ha funnet. Mozilla argumenterer for at dette er godt nytt for forsvarere: når alle feil blir billige å finne, forsvinner angripernes asymmetriske fordel. Det er verdt å merke seg at 271-tallet er noe misvisende. Mozillas offisielle advisory for Firefox 150 lister 41 CVE-er, der tre er samle-CVE-er som grupperer mange enkeltfeil under én identifikator. Alle patcher ble skrevet og gjennomgått av mennesker.

Mer informasjon:
Claude Mythos Finds 271 Firefox Vulnerabilities – SecurityWeek

North Korean hackers siphon more than $12 million from crypto users in sprawling campaign – The Record

Jeg tror ingen forstår krypto bedre enn Nord-Korea. Nok en gang har de klart å stjele store summer for å finansiere regimet. Denne gangen ble 12 millioner dollar stjålet fra 26 584 kryptolommebøker på 2 726 infiserte systemer i løpet av de tre første månedene av 2026, via skadevare som BeaverTail, OtterCookie og InvisibleFerret. Angrepet målrettet Web3-utviklere med falske jobbtilbud via LinkedIn. Og dette er bare småpenger i den store sammenhengen: nordkoreanske hackere stjal over 2 milliarder dollar i krypto i 2025 alene, og den kumulative summen er nå estimert til minst 6,75 milliarder dollar. FN estimerer at rundt 40% (!!) av Nord-Koreas våpenprogram finansieres gjennom denne typen operasjoner.

'Scattered Spider' Member 'Tylerb' Pleads Guilty – Krebs on Security

Tyler Robert Buchanan (24) fra Dundee i Skottland, kjent som «Tylerb» (veldig kreativ), har erkjent skyld i svindel og identitetstyveri. Han innrømmet å ha deltatt i SMS-phishing-kampanjene i 2022 som kompromitterte blant annet Twilio, LastPass, DoorDash og Mailchimp, og brukte stjålne data til SIM-swapping-angrep som ga minst 8 millioner dollar i kryptotyveri. Scattered Spider har aldri vært spesielt teknisk avanserte, men de har vært ekstremt effektive med sosial manipulasjon. Buchanan flyktet fra Storbritannia i 2023 etter at en rivaliserende gjeng brøt seg inn hjemme hos ham, overfalt moren hans og truet han med en blåselampe for å få tak i kryptolommeboken hans. Han ble arrestert i Spania i 2024 og utlevert til USA. Han risikerer opptil 22 års fengsel. To andre medlemmer skal for retten i Storbritannia i juni.

AI

Exclusive | Meta to start capturing employee mouse movements, keystrokes for AI training data – Reuters

For noen år siden leste jeg Burn-In: A Novel of the Real Robotic Revolution av P.W. Singer og August Cole, der automatisering har ført til massearbeidsløshet og sosial uro i et nær-fremtidig USA. Meta, i sin evige jakt på mer penger, har nå funnet ut at de kan effektivisere vekk ansatte. Og hvem er bedre til å gi læringsdata for de nye modellene som skal erstatte menneskene? Meta installerer sporingsverktøy på amerikanske ansattes arbeidsmaskiner som fanger opp musebevegelser, klikk, tastetrykk og skjermbilder for å trene AI-agenter som kan utføre kontoroppgaver på egenhånd. Initiativet kommer fra Meta Superintelligence Labs, ledet av Alexandr Wang, tidligere CEO i Scale AI som Meta kjøpte 49% av i fjor for over 14 milliarder dollar.

Anthropic tests how devs react to yanking Claude Code from Pro plan – The Register

Det har vært mye prat i det siste om Claude-modellene har blitt «litt dummere», og at årsaken er at Anthropic trenger compute-kreftene til Mythos eller andre områder. Nå leker de med tanken på å fjerne Claude Code fra standardabonnementene. Den 21. april fjernet Anthropic stille Claude Code fra Pro-planen ($20/mnd) på prissiden sin, uten noen forhåndsvarsel. Da utviklermiljøet reagerte, hevdet Anthropic sin Head of Growth at det bare var en A/B-test på 2% av nye brukere, men de hadde altså oppdatert hele den offentlige prissiden og støttedokumentasjonen samtidig. Som Simon Willison bemerket: Anthropic beholdt Cowork på Pro-planen, som i praksis er en ompakket versjon av Claude Code. Endringene ble reversert timer senere, men signalet er tydelig. Jeg forstår hvorfor: Claude Code brukes veldig mye, engasjementet per abonnent er kraftig opp, og den nåværende abonnementsmodellen var ikke bygget for langkjørende agentarbeidsflyter. Og hva er bedre for økonomien til Anthropic enn at brukere betaler både for tokens til Claude Code og abonnement?

Bredere perspektiv

Kunsten å lure med bilder – Engelsberg Ideas

Manipulasjon av bilder er ikke noe nytt, vi har gjort det i over 150 år. Det som er nytt er teknologien og mulighetene den bringer med seg, som i langt større grad fasiliterer muligheten for å forsøke å hevde at bildene er ekte. En utstilling på Rijksmuseum i Amsterdam viser fotokollasjer og fotomontasjer fra 1860 til 1940: triks i mørkerommet, politisk propaganda under Pariskommunen (et revolusjonært styre i Paris i mars–mai 1871), og John Heartfields berømte anti-nazistiske fotomontasjer. Poenget er ikke at bildemanipulasjon i seg selv er skadelig. Det er når falske bilder presenteres som ekte vi har et problem, og den grensen blir stadig vanskeligere å oppdage.

Gratis iPader ødela barns lesing i Norge. Nå slår de tilbake – The Times

Biblioteker er grunnlaget for moderne vestlig demokrati (referanse: YouTube), så det er gledelig at de jobber aktivt for at barn skal få leseglede igjen etter at vi ødela det med å ukritisk innføre digitale enheter i skolen. I 2016 ga Norge alle barn sin egen digitale enhet fra femårsalderen. Resultatet? Rundt 500 000 nordmenn sliter nå med å lese enkel tekst, og norske barn er blant de som liker lesing minst i verden. Nå har iPadene blitt fjernet fra tidlig skolegang, mobiltelefoner er forbudt, og Deichman i Oslo lånte ut rekordmange 2,2 millioner bøker i fjor, halvparten til barn. Artikkelen viser nok et best-case-scenario. Men som foreldre til et barn i barnehagealderen, er jeg veldig takknemlig for bibliotekene våre.