Säkerhetspodcasten #152 - Ostrukturerat V.20
Lyssna
Innehåll
I dagens avsnitt diskuterar Jesper, Peter och Johan bland annat Bitcoinstölder, konstiga buggar i Securitas larm, kinesiska spionappar, bombade hackers och mycket mer!
Inspelat: 2019-05-08. Längd: 00:56:33.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:04,220
Hej och välkommen till Säkerhetspodcasten.
2 00:00:04,320 --> 00:00:07,580
Jag som pratar idag heter Johan Ryberg Möller och med mig har jag Jesper Larsson.
3 00:00:07,640 --> 00:00:08,420
Yes sir!
4 00:00:08,600 --> 00:00:09,920
Och Peter Magnusson.
5 00:00:10,260 --> 00:00:10,660
Yes!
6 00:00:11,360 --> 00:00:14,520
Mattias är tyvärr sjuk idag och Rickard har annat att göra.
7 00:00:14,780 --> 00:00:16,480
Så vi sitter här själva i studion.
8 00:00:16,960 --> 00:00:18,280
Men gud, vi har det mysigt.
9 00:00:18,600 --> 00:00:20,160
Ska vi se vilken dag det är?
10 00:00:20,580 --> 00:00:23,940
Det kan vi göra. Vi har faktiskt tänkt på att vi borde göra det så att folk får kontext.
11 00:00:24,460 --> 00:00:27,480
Eftersom att vissa avsnitt har varit utdaterade när vi släpper dem.
12 00:00:27,480 --> 00:00:31,540
Verkligen. Det är alltså onsdagen den 8 maj idag när vi spelar in detta.
13 00:00:31,940 --> 00:00:32,780
Jag kan ge fem.
14 00:00:33,240 --> 00:00:34,140
Ja, ungefär.
15 00:00:34,980 --> 00:00:35,860
Nästan exakt faktiskt.
16 00:00:36,340 --> 00:00:40,460
Innan vi drar igång så ska vi nämna att podcasten är sponsrad av Ashward.
17 00:00:40,640 --> 00:00:42,340
Läs mer om dem på ashward.se.
18 00:00:42,520 --> 00:00:46,420
Och av Botfors Consulting som ni kan läsa mer om på botfors.se.
19 00:00:47,620 --> 00:00:55,120
Sen ska vi även tacka en kille som kom förbi kontoret här och lämnade en låda rysk öl och postgodis.
20 00:00:56,020 --> 00:00:57,120
Så vi är drickande.
21 00:00:57,480 --> 00:01:07,420
Vi friskriver oss eventuella översättningsproblem som just framkom.
22 00:01:07,860 --> 00:01:12,120
Och om det skulle vara så att vi kollapsar här under sändning så vet ni vad det beror på.
23 00:01:12,420 --> 00:01:13,600
Det går inte rarare ut live i och för sig.
24 00:01:14,140 --> 00:01:16,440
Nej, men skicka hjälp då.
25 00:01:16,800 --> 00:01:17,340
Eller hur då?
26 00:01:18,080 --> 00:01:18,480
Röksignaler.
27 00:01:18,640 --> 00:01:21,200
Ja, det blir knasigt. Gör ingenting.
28 00:01:21,660 --> 00:01:22,320
Carry on.
29 00:01:22,320 --> 00:01:27,220
Vi ska också nämna att Securityfest går av stapeln.
30 00:01:27,480 --> 00:01:28,660
Nästa vecka när det här släpps.
31 00:01:29,260 --> 00:01:32,960
Den 23-24 så är det trainings på onsdagen den 22.
32 00:01:33,660 --> 00:01:38,740
När vi spelar in detta så har vi faktiskt skruvat på allt utrymme vi har.
33 00:01:38,840 --> 00:01:42,660
Vi har förmodligen gått i taket för första gången någonsin på deltagaravtalet.
34 00:01:43,360 --> 00:01:43,380
Men.
35 00:01:44,700 --> 00:01:46,700
Det vi har biljetter kvar på är ju trainings dock.
36 00:01:46,740 --> 00:01:49,780
Ja, trainings kan man fortfarande säkra sin plats på.
37 00:01:49,840 --> 00:01:53,160
Där finns det faktiskt en hel del biljetter att hova in.
38 00:01:53,160 --> 00:01:57,360
Precis, så det föreslår vi att ni går in och köper om ni vill ha en säker plats.
39 00:01:57,480 --> 00:02:03,120
I övrigt så kanske vi ska göra våran grej nu med en gång.
40 00:02:03,120 --> 00:02:08,400
Vi har faktiskt ett visst samarbete mellan Säkerhetspodcasten och Securityfest.
41 00:02:08,460 --> 00:02:10,880
Ja, det är märkligt. Det är nästan som att man sitter på flera stolar här.
42 00:02:11,800 --> 00:02:13,540
Många hattar, flera stolar.
43 00:02:16,200 --> 00:02:23,760
Vi har faktiskt en ordinarie biljett att lotta ut till någon av era lite slappa lyssnare.
44 00:02:23,960 --> 00:02:26,280
Som en vecka innan konferensen inte har säkrat en biljett.
45 00:02:26,400 --> 00:02:27,360
Eller kanske inte har råd.
46 00:02:27,360 --> 00:02:28,360
Eller kanske inte har råd att köpa en biljett.
47 00:02:28,840 --> 00:02:31,300
Men hör upp, gott folk.
48 00:02:31,940 --> 00:02:35,420
För att det kanske finns en chans för just dig att komma till Securityfest.
49 00:02:35,500 --> 00:02:35,760
Jajamän.
50 00:02:36,300 --> 00:02:37,240
I alla fall att komma in.
51 00:02:37,480 --> 00:02:38,360
Sen hur du tar dig dit.
52 00:02:38,780 --> 00:02:41,240
Det är upp till dig. Och hur du bor är också upp till dig.
53 00:02:41,420 --> 00:02:44,780
Ja, konferensen är i Göteborg. Vi kommer inte flytta den för att du har vunnit en biljett.
54 00:02:44,860 --> 00:02:46,180
Faktiskt inte. Inte den här gången.
55 00:02:46,200 --> 00:02:47,020
Nej, men nästa gång kanske.
56 00:02:47,520 --> 00:02:50,220
Så Johan, vad behöver man göra då för att få den här biljetten?
57 00:02:50,380 --> 00:02:53,580
Det lättaste sättet, och det enda sättet egentligen.
58 00:02:54,340 --> 00:02:55,020
Bra med tydlighet.
59 00:02:55,020 --> 00:02:57,340
Man kanske kan gå bakvägen med någon form av muta.
60 00:02:57,620 --> 00:03:00,980
Men bortsett från det så är det ju att mejla till kontakt
61 00:03:00,980 --> 00:03:05,140
att sakhyrespodcast.se med en motivation till varför man ska få komma.
62 00:03:05,800 --> 00:03:09,240
Så kommer vi att i panelen välja ut någon lycklig vinnare.
63 00:03:09,420 --> 00:03:11,720
Jesper, är det en studentbiljett eller en vanlig biljett?
64 00:03:11,880 --> 00:03:13,460
Det är faktiskt en vanlig biljett.
65 00:03:13,720 --> 00:03:17,920
Är man på jakt efter studentbiljetter så bör man skaffa Twitter.
66 00:03:18,540 --> 00:03:21,940
Och så ska man följa Securityfest och Securityfest-sponsorer.
67 00:03:21,940 --> 00:03:27,040
För där finns det nämligen just nu en ganska stor drive
68 00:03:27,040 --> 00:03:29,440
på utlottning av studentbiljetter.
69 00:03:29,540 --> 00:03:34,200
Precis. Både Atea och Mullvard och ett gäng andra sponsorer där som har…
70 00:03:34,200 --> 00:03:37,280
Samma upplägg egentligen som säkerhetspodcasten.
71 00:03:37,400 --> 00:03:40,560
Fast säkerhetspodcasten är ju väldigt kära till Securityfest.
72 00:03:40,740 --> 00:03:41,440
Eller vad säger du, Johan?
73 00:03:41,460 --> 00:03:41,920
Ja, jajamän.
74 00:03:42,060 --> 00:03:42,780
Du är också pet, va?
75 00:03:43,000 --> 00:03:44,700
Jag gillar dem. Personerna är bra människor.
76 00:03:45,020 --> 00:03:45,760
Ja, de är väldigt bra människor.
77 00:03:45,880 --> 00:03:47,380
Så de har faktiskt fått en ordinarie biljett.
78 00:03:47,500 --> 00:03:51,920
Så är du inte student och ändå känner att det här hade varit mäktigt att gå på
79 00:03:51,920 --> 00:03:56,920
så mejla in en motivation om varför just du ska bli den lyckliga podcast-podcasten.
80 00:03:57,040 --> 00:03:59,900
Jag är ju podcast-representanten på Securityfest 2019.
81 00:04:00,120 --> 00:04:02,220
Så mejla, kontakta ett säkerhetspodcast.se.
82 00:04:02,860 --> 00:04:03,340
Yes.
83 00:04:04,060 --> 00:04:07,360
Bra, ska vi ta och gå vidare? Det är ju dags för ett ostrukturerat avsnitt.
84 00:04:07,620 --> 00:04:08,160
Det är dags.
85 00:04:08,580 --> 00:04:11,720
Och då ska vi prata lite om det senaste tidens nyheter.
86 00:04:11,960 --> 00:04:17,720
Vi skulle kunna börja med Hamas, faktiskt.
87 00:04:18,220 --> 00:04:20,040
Ja, och raketer.
88 00:04:20,040 --> 00:04:24,380
Ja, för det är väl egentligen det första dokumenterade fallet av att
89 00:04:24,380 --> 00:04:27,140
superkrig blir superfysiskt på riktigt.
90 00:04:27,220 --> 00:04:29,840
Ja, en superfysisk attack.
91 00:04:30,020 --> 00:04:34,020
Vi hände ju på sekten för några år sedan så var det ju en,
92 00:04:34,480 --> 00:04:38,820
eller kanske var förra året, som en talare där gjorde gällande
93 00:04:38,820 --> 00:04:45,440
att amerikanerna skulle rikta sina bomber utifrån var det satt hackers och så.
94 00:04:45,440 --> 00:04:51,740
Men det här är liksom första gången vi har ett erkännande från bombande land
95 00:04:51,740 --> 00:04:53,440
att de har satt in…
96 00:04:54,380 --> 00:04:57,960
De har satt in sprängverkan som svar på hackerattacker.
97 00:04:58,240 --> 00:05:01,040
Precis, och det är ju inte bara ett erkännande egentligen,
98 00:05:01,180 --> 00:05:04,100
utan nästan skryt skulle man väl kunna säga.
99 00:05:04,360 --> 00:05:07,500
Det har ju släppts en video på nätet där man ser det här ske.
100 00:05:08,340 --> 00:05:15,200
Och en ganska ironisk tweet om att de aninstålde Hamas hacking-headquarter.
101 00:05:15,200 --> 00:05:20,080
Precis, så det var Israel här som bestämde sig för att
102 00:05:20,080 --> 00:05:23,460
hack back med lite mer offensiva metoder.
103 00:05:24,380 --> 00:05:29,620
Kanske en lilla gnutta kusligt, men å andra sidan så…
104 00:05:29,620 --> 00:05:33,780
Om man gör bedömning att man befinner sig i krig
105 00:05:33,780 --> 00:05:40,920
så slår man väl mot alla vakt militärrelaterade mål.
106 00:05:40,920 --> 00:05:44,800
Men det här är ju verkligen en gråzon att man bombar bort
107 00:05:44,800 --> 00:05:49,280
någon som hackar system och sådär.
108 00:05:49,720 --> 00:05:54,360
Sen kan ju deras hacking-operationer potentiellt sett skada,
109 00:05:54,380 --> 00:05:55,980
riketssäkrat så att…
110 00:05:55,980 --> 00:05:57,360
Absolut, det är ju väl poängen.
111 00:05:57,860 --> 00:06:02,040
Men man brukar ju kanske svara med liknande medel.
112 00:06:02,440 --> 00:06:04,080
Ja, det var det precis jag tänkte också.
113 00:06:04,280 --> 00:06:08,380
För de bilderna jag har sett så är det ju en bild på ett lägenhetshus.
114 00:06:08,980 --> 00:06:10,800
Jag vet ju inte alls om de här bilderna är på riktigt,
115 00:06:10,900 --> 00:06:14,020
men det som slår mig i de artiklarna jag har tittat på i alla fall,
116 00:06:14,440 --> 00:06:16,040
då är det ju mer eller mindre…
117 00:06:16,040 --> 00:06:17,960
Jag vet inte varför jag skrattar, det är helt hemskt där egentligen.
118 00:06:18,440 --> 00:06:19,880
Det är faktiskt inte alls kul.
119 00:06:19,880 --> 00:06:21,440
Det är svårt att…
120 00:06:21,440 --> 00:06:23,880
Men det känns som en tecknad…
121 00:06:24,380 --> 00:06:26,740
Seriöst så här, det sitter en hackare i en lägenhet,
122 00:06:27,020 --> 00:06:29,260
man ser en bild på ett helt lägenhetskomplext,
123 00:06:29,600 --> 00:06:30,480
halva huset är ju borta.
124 00:06:31,260 --> 00:06:32,620
De har ju sprängt massa lägenheter.
125 00:06:33,220 --> 00:06:36,480
Så att man vet så här, hur mycket collateral är det för att ta död på en hackare?
126 00:06:36,780 --> 00:06:38,560
Det känns som att de har bättre precision än så.
127 00:06:38,680 --> 00:06:40,120
Det behöver ju inte vara en hackare heller,
128 00:06:40,240 --> 00:06:43,480
utan det kan ju vara deras sambandscentral för allt vi vet.
129 00:06:43,780 --> 00:06:45,300
Men å andra sidan, vi vet ju inte.
130 00:06:45,660 --> 00:06:48,200
Nej, men vadå så här, sambandscentral?
131 00:06:48,200 --> 00:06:51,520
Det hade ju varit asmäktigt om de hade typ ett budgetalternativ
132 00:06:51,520 --> 00:06:53,900
av 80-200 som sitter där. Jag tror inte det.
133 00:06:54,380 --> 00:06:57,080
Nu vet inte jag hur de gjorde i det här fallet
134 00:06:57,080 --> 00:06:58,340
eller hur det här målet såg ut,
135 00:06:58,600 --> 00:07:02,240
men jag har uppfattat det på dokumentärer jag har sett tidigare
136 00:07:02,240 --> 00:07:05,980
att när de slår till mot civila mål
137 00:07:05,980 --> 00:07:10,480
så har Israel historiskt sett börjat med att först
138 00:07:10,480 --> 00:07:15,000
slå det ner två sådana här dodds ganska hög ut i huset.
139 00:07:16,280 --> 00:07:19,960
Och när du har hört att El-Riald träffar ditt hus
140 00:07:19,960 --> 00:07:24,100
då ska du som boende i Gaza-remsen
141 00:07:24,380 --> 00:07:25,940
du vet att du bara ska springa och fly
142 00:07:25,940 --> 00:07:29,620
för de tänker inom tio minuter bomba bort den byggnaden.
143 00:07:29,860 --> 00:07:32,740
Så frågan är om det fanns någon som helst förvarning här?
144 00:07:33,040 --> 00:07:34,320
Jag vet bara hela grejen där,
145 00:07:34,480 --> 00:07:37,740
att det här är de samhällsnormerna vi jobbar efter.
146 00:07:38,240 --> 00:07:39,880
Hör du två smällar så gå från ditt hus
147 00:07:39,880 --> 00:07:40,820
för det kommer det bli en åker.
148 00:07:40,840 --> 00:07:43,300
Som sagt, de har ju släppt en video från
149 00:07:43,300 --> 00:07:47,120
jag misstänker det är flygplanet som gör detta
150 00:07:47,120 --> 00:07:48,300
eller helikoptern eller vad det nu är.
151 00:07:49,040 --> 00:07:51,680
Så där kan du ju se där de siktar på huset
152 00:07:51,680 --> 00:07:52,460
och sen späller det.
153 00:07:52,640 --> 00:07:53,460
Så att…
154 00:07:54,380 --> 00:07:57,620
Det känns inte som att de hade jättemycket förvarning
155 00:07:57,620 --> 00:08:01,440
utifrån den videon som såklart är släppt från ena sidan
156 00:08:01,440 --> 00:08:03,400
så vem vet vad som är sant här egentligen.
157 00:08:04,360 --> 00:08:06,180
Men oavsett så är det ju en utveckling
158 00:08:06,180 --> 00:08:08,880
som kanske inte är jätterolig.
159 00:08:09,100 --> 00:08:10,720
Ja, och sen tänker jag också då Gaza-remsen
160 00:08:10,720 --> 00:08:13,560
de är ju landlock, det är ju Israel överallt.
161 00:08:14,340 --> 00:08:17,980
De behöver väl bara dra ur sladden till internet till Gaza?
162 00:08:18,380 --> 00:08:21,400
Det har ju hettat upp en hel del där på sista tiden.
163 00:08:21,400 --> 00:08:23,800
Det var här, det kom ju precis i sviterna efter att
164 00:08:23,800 --> 00:08:25,680
var det väl Hamas som hade skickat över
165 00:08:25,680 --> 00:08:27,440
430 raketmusiler mot Israel.
166 00:08:27,440 --> 00:08:30,120
Men de kommer ju inte från Gaza-remsen, det kan jag aldrig tro.
167 00:08:30,480 --> 00:08:31,560
Det vet jag inte, men det är såhär
168 00:08:31,560 --> 00:08:32,780
det måste ju komma norrifrån.
169 00:08:33,660 --> 00:08:34,160
Det vet jag inte.
170 00:08:34,340 --> 00:08:35,840
För jag menar Gaza, det är ju typ
171 00:08:35,840 --> 00:08:37,680
vi snackar ju typ Berlinmuren-style.
172 00:08:37,860 --> 00:08:39,900
De är ju isolerade, de är ju landlocked.
173 00:08:40,460 --> 00:08:41,580
Ja, de kan simma kanske.
174 00:08:42,840 --> 00:08:44,940
Du, jag har för dåligt koll här.
175 00:08:45,080 --> 00:08:48,020
Nej, det står ju att de är från Gaza-remsen till
176 00:08:48,020 --> 00:08:49,980
över gränsen.
177 00:08:49,980 --> 00:08:51,520
Är det jag som tänker fel nu?
178 00:08:51,600 --> 00:08:53,460
Eller är inte Gaza-remsen längst ner Israel?
179 00:08:53,800 --> 00:08:55,820
Eller är det jag som tänker helt fel?
180 00:08:56,040 --> 00:08:57,780
I historiskt sätt så har de väl fått
181 00:08:57,780 --> 00:09:00,460
de har fått smugglat in
182 00:09:00,460 --> 00:09:01,480
Ja, men från Egypten.
183 00:09:01,500 --> 00:09:03,460
Men Gaza-remsen ligger ju ut mot vattnet.
184 00:09:03,800 --> 00:09:04,580
Jo, jo, men de kan
185 00:09:04,580 --> 00:09:06,200
Så landlocked är det ju.
186 00:09:06,200 --> 00:09:09,840
Jo, men såhär, de har väl en pytteliten gräns
187 00:09:09,840 --> 00:09:10,840
mot Egypten va?
188 00:09:11,480 --> 00:09:12,220
Ja, det tror jag.
189 00:09:12,240 --> 00:09:14,500
Det här är ju farligt vatten, men jag tror det.
190 00:09:14,740 --> 00:09:16,380
Och sen så är det ju vatten utanför.
191 00:09:16,560 --> 00:09:18,860
Men de har ju inget, det är ju typ
192 00:09:18,860 --> 00:09:21,160
det är ju fänstoff alltså.
193 00:09:21,160 --> 00:09:23,640
Jo, det är ju inga stora utrymmen vi pratar om här.
194 00:09:23,800 --> 00:09:24,840
Nej, det är det jag menar.
195 00:09:25,000 --> 00:09:26,260
Så det är tänket, ja ja.
196 00:09:26,260 --> 00:09:29,460
Men ja, vi ger oss in nu på områden
197 00:09:29,460 --> 00:09:30,700
vi känner att vi kanske inte har gett ut.
198 00:09:30,700 --> 00:09:33,040
Nej, jag tycker bara det är såhär, det är så sjukt
199 00:09:33,040 --> 00:09:35,920
Ja, man bryr sig inte om
200 00:09:35,920 --> 00:09:36,920
övriga människors liv
201 00:09:36,920 --> 00:09:39,500
man spränger bort ett hus, men man kanske visar att det är ett exempel.
202 00:09:39,740 --> 00:09:41,200
Ja, som sagt, de hade ju precis lobbat in
203 00:09:41,200 --> 00:09:43,300
430 missiler mot Israel, så att
204 00:09:43,300 --> 00:09:44,300
det är en boll upp liksom.
205 00:09:44,900 --> 00:09:47,620
Då svarar vi med att spränga bort ett hus för att någon sitter och
206 00:09:47,620 --> 00:09:50,140
Ja, all fair in love and war.
207 00:09:50,140 --> 00:09:52,320
Och så tänker jag såhär, hackerattack, vad betyder det då?
208 00:09:52,360 --> 00:09:52,800
Ja, absolut.
209 00:09:52,880 --> 00:09:53,780
De drog av en mapp.
210 00:09:53,800 --> 00:09:55,680
Man behöver ju inte bevisa riktigt
211 00:09:55,680 --> 00:09:57,200
vad man har för kriterier där.
212 00:09:57,680 --> 00:09:58,840
Nej, det är i och för sig också sant.
213 00:09:59,820 --> 00:10:01,880
Men det är ju den här typiska
214 00:10:01,880 --> 00:10:04,160
sandlådpolitik-grejen.
215 00:10:04,580 --> 00:10:06,240
Vi skjuter raketer, vi spränger ett hus.
216 00:10:07,120 --> 00:10:07,660
Ja, precis.
217 00:10:07,980 --> 00:10:08,920
Det kommer ju aldrig bli bra.
218 00:10:09,560 --> 00:10:11,680
Vi kanske hoppar vidare,
219 00:10:11,900 --> 00:10:13,680
men Israel har ju historiskt sett
220 00:10:13,680 --> 00:10:15,280
de tenderar ju att svara
221 00:10:15,280 --> 00:10:17,600
en faktor tre kraftigare
222 00:10:17,600 --> 00:10:18,940
på varje gång någon muckar med dem.
223 00:10:19,020 --> 00:10:21,320
Och det tänker jag också, men Israel är ju ändå också
224 00:10:21,320 --> 00:10:23,320
jag menar, hela underrättelsedelen
225 00:10:23,800 --> 00:10:25,840
i Israel är ju ändå känt som en utav
226 00:10:25,840 --> 00:10:27,880
ja men, topp tre bästa
227 00:10:27,880 --> 00:10:29,240
i världen, skulle jag säga.
228 00:10:29,680 --> 00:10:31,160
När det kommer till teknisk kompetens och
229 00:10:31,160 --> 00:10:33,920
cyberkapabilitet. De har ju hållit på att rusta
230 00:10:33,920 --> 00:10:36,080
ja men, de har hållit på
231 00:10:36,080 --> 00:10:37,520
att rusta publikt i alla fall
232 00:10:37,520 --> 00:10:39,680
längst
233 00:10:39,680 --> 00:10:42,200
av alla egentligen underrättelsetjänster.
234 00:10:42,220 --> 00:10:43,460
Ja, men de har ju jobbat
235 00:10:43,460 --> 00:10:44,540
väldigt mycket med det.
236 00:10:44,660 --> 00:10:47,320
Och varit tydliga med hur rekryterings…
237 00:10:47,320 --> 00:10:49,180
Så du tänker att de kanske inte har
238 00:10:49,180 --> 00:10:51,580
potential att ta så stor skada från några glada
239 00:10:51,580 --> 00:10:52,880
hackers i Gaza eller något sånt?
240 00:10:52,880 --> 00:10:53,680
Jag vet inte, men det är ju…
241 00:10:53,800 --> 00:10:55,980
Det känns så. Och om det skulle vara så att man nu
242 00:10:55,980 --> 00:10:57,260
då får använda
243 00:10:57,260 --> 00:10:59,460
cybervapen så känns det som att
244 00:10:59,460 --> 00:11:01,840
de har nog rätt mycket i sin arsenal.
245 00:11:02,280 --> 00:11:03,080
Men de kanske inte vill
246 00:11:03,080 --> 00:11:05,720
kanske inte vill riska att droppa något.
247 00:11:06,660 --> 00:11:07,900
Spara det till Iran istället.
248 00:11:08,420 --> 00:11:10,020
Ja, precis. Det ser ju
249 00:11:10,020 --> 00:11:12,020
just nu ut som att det finns potential
250 00:11:12,020 --> 00:11:12,920
att hända grejer där också.
251 00:11:13,560 --> 00:11:15,900
USA håller på att skicka ölogsfartyg och grejer
252 00:11:15,900 --> 00:11:16,800
till Iran.
253 00:11:17,440 --> 00:11:18,740
Ja, det kommer bli spännande.
254 00:11:19,220 --> 00:11:21,720
Men det får vi väl se om det smäller någonting nu
255 00:11:21,720 --> 00:11:23,120
under helgerna innan detta släpps.
256 00:11:23,800 --> 00:11:25,960
Då kommer det här avsnittet
257 00:11:25,960 --> 00:11:27,020
vara ännu mer kass.
258 00:11:28,120 --> 00:11:28,640
Utdaterat.
259 00:11:29,660 --> 00:11:31,060
Men vi kan väl ta och gå vidare.
260 00:11:31,780 --> 00:11:34,160
Ska vi prata lite om
261 00:11:34,160 --> 00:11:36,440
Securitas kanske?
262 00:11:36,880 --> 00:11:37,540
Just det.
263 00:11:38,380 --> 00:11:40,080
Securitas hemmalarm
264 00:11:40,080 --> 00:11:42,180
var det va? Som åkte ut
265 00:11:42,180 --> 00:11:42,920
för en liten
266 00:11:42,920 --> 00:11:46,100
spännande… Vi blev ju till och med mailade
267 00:11:46,100 --> 00:11:47,820
av någon som ville att vi pratade om det här.
268 00:11:48,060 --> 00:11:50,020
Som var mottagare av brevet.
269 00:11:50,180 --> 00:11:50,920
Då var det ja.
270 00:11:51,800 --> 00:11:52,920
Och jag har ju…
271 00:11:53,800 --> 00:11:56,340
Jag vågar inte nämna hans namn.
272 00:11:56,340 --> 00:11:57,460
Men nu vet ni att det är en han
273 00:11:57,460 --> 00:11:59,320
som har pratat med mig om detta.
274 00:12:00,300 --> 00:12:02,300
Fast jag visste inte att det var det här
275 00:12:02,300 --> 00:12:03,000
vi pratade om.
276 00:12:03,320 --> 00:12:04,260
Och det var ett tag sedan va?
277 00:12:04,300 --> 00:12:06,420
Det var ett tag sedan, ja. Det var några veckor sedan.
278 00:12:07,300 --> 00:12:09,420
Där det diskuterades en massa proxys
279 00:12:09,420 --> 00:12:11,060
och hur proxys egentligen funkar och sådär.
280 00:12:12,540 --> 00:12:14,440
Och det visade sig då att
281 00:12:14,440 --> 00:12:16,480
Securitas larmsystem
282 00:12:16,480 --> 00:12:18,420
Base64 enkodade egentligen
283 00:12:18,420 --> 00:12:20,700
credentials i klartext
284 00:12:20,700 --> 00:12:22,040
som går att
285 00:12:22,040 --> 00:12:22,980
titta på.
286 00:12:22,980 --> 00:12:23,680
Under en del…
287 00:12:23,800 --> 00:12:25,400
Specifika förutsättningar då?
288 00:12:25,620 --> 00:12:26,580
Absolut, absolut.
289 00:12:27,120 --> 00:12:29,820
Det de gör… Du har ju en app då som du använder
290 00:12:29,820 --> 00:12:32,120
för att kontrollera ditt larm på olika sätt.
291 00:12:32,280 --> 00:12:33,740
Eller åtminstone titta på vad som händer.
292 00:12:34,540 --> 00:12:35,800
Ja, exakt. Det är en medelattack.
293 00:12:36,420 --> 00:12:38,180
Och i vanligt fall
294 00:12:38,180 --> 00:12:40,020
då så ska du ju såklart skicka
295 00:12:40,020 --> 00:12:41,620
credentials och så vidare över
296 00:12:41,620 --> 00:12:42,960
TLS.
297 00:12:43,420 --> 00:12:45,520
Och kryptera din trafik på det viset.
298 00:12:45,760 --> 00:12:48,080
Men under förutsättning att
299 00:12:48,080 --> 00:12:49,620
du har
300 00:12:49,620 --> 00:12:52,020
din mobiltelefon påslagen
301 00:12:52,020 --> 00:12:53,620
eller snarare konfigurerad
302 00:12:53,800 --> 00:12:55,140
för att gå igenom en proxy
303 00:12:55,140 --> 00:12:57,480
då kommer appen
304 00:12:57,480 --> 00:12:59,460
förhandla ner detta till att köra
305 00:12:59,460 --> 00:13:01,400
Basic Authentication över HTTP
306 00:13:01,400 --> 00:13:03,580
av någon anledning.
307 00:13:03,680 --> 00:13:05,900
Ja, det är egentligen en rätt lustig
308 00:13:05,900 --> 00:13:07,700
bug. Det är jätteknasigt.
309 00:13:08,080 --> 00:13:09,540
Det låter väldigt specifikt.
310 00:13:10,120 --> 00:13:11,480
Och det låter ju som att
311 00:13:11,480 --> 00:13:13,660
om det nu är sant att det är de
312 00:13:13,660 --> 00:13:15,440
specifika förkraven som krävs
313 00:13:15,440 --> 00:13:17,980
ursäkta mig, så är det
314 00:13:17,980 --> 00:13:19,540
ju förmodligen rätt få som har potential
315 00:13:19,540 --> 00:13:21,600
att bli drabbade här. De flesta har ju inte
316 00:13:21,600 --> 00:13:23,300
sina mobiltelefoner konfigurerade för att gå
317 00:13:23,800 --> 00:13:24,840
igenom en proxy hela tiden.
318 00:13:26,040 --> 00:13:26,540
Även om…
319 00:13:26,540 --> 00:13:29,300
Det skulle ju vara då möjligtvis om du…
320 00:13:29,300 --> 00:13:30,940
Har man någon socks på…
321 00:13:30,940 --> 00:13:33,240
Eller om du av någon anledning på ditt
322 00:13:33,240 --> 00:13:35,400
interna nätverk behöver
323 00:13:35,400 --> 00:13:36,940
gå igenom en proxy.
324 00:13:37,440 --> 00:13:39,700
Du kan väl ansluta till ett
325 00:13:39,700 --> 00:13:42,020
LAN och automatiskt bli förhandlad
326 00:13:42,020 --> 00:13:42,780
till att köpa proxy.
327 00:13:42,780 --> 00:13:44,460
Ja, det tänker på WPAD och grejer.
328 00:13:44,820 --> 00:13:46,000
Ja, det skulle man kunna göra.
329 00:13:46,000 --> 00:13:48,240
Men ja, då behöver du
330 00:13:48,240 --> 00:13:49,620
automatiskt…
331 00:13:49,620 --> 00:13:50,780
Då måste du också sätta det.
332 00:13:51,100 --> 00:13:53,080
Det är ju också frågan om det är…
333 00:13:53,080 --> 00:13:55,740
Ja, det kan man nog fan sätta
334 00:13:55,740 --> 00:13:56,680
vid avkön i DHCP.
335 00:13:56,760 --> 00:13:58,460
Frågan är om det då räcker för att
336 00:13:58,460 --> 00:13:59,200
regera den här buggen.
337 00:13:59,400 --> 00:14:01,400
Jag vet inte, jag tycker bara att det är intressant
338 00:14:01,400 --> 00:14:04,540
att ett säkerhetsbolag använder sig av
339 00:14:04,540 --> 00:14:06,220
den otroligt säkra krypteringen
340 00:14:06,220 --> 00:14:08,640
Base64 och att man inte
341 00:14:08,640 --> 00:14:10,660
håller koll egentligen
342 00:14:10,660 --> 00:14:11,660
på integritet.
343 00:14:12,020 --> 00:14:14,680
Nu är ju detta ett ganska specifikt fall.
344 00:14:14,940 --> 00:14:16,520
Ja, och sen var det ju…
345 00:14:16,520 --> 00:14:18,440
Vi har ju bara…
346 00:14:18,440 --> 00:14:21,020
Vi har ju bara
347 00:14:21,020 --> 00:14:22,740
symtomen dokumenterade.
348 00:14:23,080 --> 00:14:25,540
Vi har ju inte sett i kod om det här är…
349 00:14:25,540 --> 00:14:27,180
Är det ett libfel
350 00:14:27,180 --> 00:14:29,080
eller är det ett implementeringsfel?
351 00:14:30,140 --> 00:14:31,420
Det vi däremot vet är ju att
352 00:14:31,420 --> 00:14:33,080
en person som
353 00:14:33,080 --> 00:14:35,360
hittade detta, jag minns inte hans namn nu,
354 00:14:36,460 --> 00:14:37,240
rapporterade detta
355 00:14:37,240 --> 00:14:39,180
till Securitas för ungefär
356 00:14:39,180 --> 00:14:39,980
två år sedan, tror jag.
357 00:14:40,720 --> 00:14:41,680
Då han upptäckte det.
358 00:14:42,020 --> 00:14:43,020
Hugo Millwood.
359 00:14:43,120 --> 00:14:43,540
Ja, precis.
360 00:14:45,080 --> 00:14:47,480
Det fick först överhuvudtaget ingen respons.
361 00:14:48,340 --> 00:14:49,640
När han sökte upp dem igen
362 00:14:49,640 --> 00:14:51,140
så till slut kom han i kontakt
363 00:14:51,140 --> 00:14:51,540
med någon.
364 00:14:53,080 --> 00:14:54,820
Som väl initialt
365 00:14:54,820 --> 00:14:56,140
i stort sett avfärdade det där.
366 00:14:59,100 --> 00:15:00,740
Så det tog ju ett tag innan det blev fixat.
367 00:15:01,140 --> 00:15:03,280
Vad om det ens är fixat? Jag är faktiskt inte säker på att det är det.
368 00:15:03,900 --> 00:15:05,040
Ja, men de har ju
369 00:15:05,040 --> 00:15:07,280
fått ett mejl med ett antal
370 00:15:07,280 --> 00:15:09,100
berörda personer där det står att
371 00:15:09,100 --> 00:15:12,540
om man har uppdaterat
372 00:15:12,540 --> 00:15:14,200
så ska problem vara löst.
373 00:15:14,700 --> 00:15:16,900
Det roliga är att
374 00:15:16,900 --> 00:15:18,980
jag vet ju att jag pratade med en person
375 00:15:18,980 --> 00:15:20,020
för bara några veckor sedan.
376 00:15:20,020 --> 00:15:22,020
Och då var den personen
377 00:15:23,080 --> 00:15:24,780
och jag hade uppdrag att validera
378 00:15:24,780 --> 00:15:25,720
att det faktiskt var ett problem.
379 00:15:25,980 --> 00:15:28,300
Ja, det är märkligt.
380 00:15:28,380 --> 00:15:31,000
Fast jag fick ju inte reda på vilket kontext i och för sig.
381 00:15:31,660 --> 00:15:33,440
Men det var den informationen
382 00:15:33,440 --> 00:15:34,400
jag har fått i alla fall.
383 00:15:34,540 --> 00:15:35,840
Nu är det ju publikt.
384 00:15:37,060 --> 00:15:38,680
Hur mycket får man säga?
385 00:15:39,320 --> 00:15:39,460
Men
386 00:15:39,460 --> 00:15:42,620
i vilket fall kanske inte
387 00:15:42,620 --> 00:15:44,900
supersnyggt skött av Securitas.
388 00:15:44,920 --> 00:15:45,460
Nej, men vad fasken.
389 00:15:46,120 --> 00:15:48,440
Nu var i och för sig inte det Securitas.
390 00:15:48,440 --> 00:15:50,440
Det var ju ett sånt här smarta låsföretag
391 00:15:51,060 --> 00:15:51,640
som jag vet.
392 00:15:52,140 --> 00:15:52,880
Eller jag har hört på stan.
393 00:15:53,080 --> 00:15:55,040
Jag hade ju också liknande
394 00:15:55,040 --> 00:15:56,960
problembilder
395 00:15:56,960 --> 00:15:58,860
där man har ett scenario
396 00:15:58,860 --> 00:16:01,020
och man planerar för ett ordinarie
397 00:16:01,020 --> 00:16:02,440
informationsflöde.
398 00:16:02,760 --> 00:16:05,400
Och när saker och ting inträffar
399 00:16:05,400 --> 00:16:06,260
i den tänkta
400 00:16:06,260 --> 00:16:09,160
tågordningen av hur data ska transfereras
401 00:16:09,160 --> 00:16:11,000
då kommer det ju helt massa
402 00:16:11,000 --> 00:16:12,460
märkliga grejer. I deras fall så
403 00:16:12,460 --> 00:16:14,620
visade det sig att de hade någon form av
404 00:16:14,620 --> 00:16:15,460
versionskontroll.
405 00:16:16,180 --> 00:16:18,120
Där de var tvungna att göra en lookup
406 00:16:18,120 --> 00:16:21,840
mot ett bäckensystem
407 00:16:21,840 --> 00:16:23,000
som inte satt i ditt hus.
408 00:16:23,080 --> 00:16:24,840
Och när det då låg nere
409 00:16:24,840 --> 00:16:26,420
då kunde de inte validera vidare
410 00:16:26,420 --> 00:16:29,160
vad som var vilket. Och kunde då inte öppna dörren.
411 00:16:29,660 --> 00:16:30,720
Det är typiskt mindre bra.
412 00:16:31,300 --> 00:16:33,280
Ja, det känns ju som att det där borde man ju
413 00:16:33,280 --> 00:16:35,120
kanske ha testat
414 00:16:35,120 --> 00:16:37,460
i någon form av QA innan man
415 00:16:37,460 --> 00:16:37,960
kör vidare.
416 00:16:38,340 --> 00:16:41,440
Men problemet
417 00:16:41,440 --> 00:16:42,940
den du nämner där
418 00:16:42,940 --> 00:16:44,840
med att det inte funkar, det kanske du skulle märka
419 00:16:44,840 --> 00:16:46,780
QA, men väldigt ofta så
420 00:16:46,780 --> 00:16:48,740
Eller Unity-tester där man verkligen
421 00:16:48,740 --> 00:16:49,660
tittar på alla så här.
422 00:16:49,660 --> 00:16:51,100
Men ofta är det ju lätt att testa
423 00:16:51,100 --> 00:16:51,900
Happy Path.
424 00:16:53,080 --> 00:16:55,700
Du testar en dålig path
425 00:16:55,700 --> 00:16:56,940
är ju mycket klurigare.
426 00:16:57,660 --> 00:16:59,900
Jo, om man vänder på det
427 00:16:59,900 --> 00:17:01,180
på det sättet. Jag tänker också så här
428 00:17:01,180 --> 00:17:03,460
funktionalitetstester. Okej,
429 00:17:03,880 --> 00:17:06,040
hur kommunicerar våran app i det här fallet?
430 00:17:06,580 --> 00:17:08,140
Hur använder folk
431 00:17:08,140 --> 00:17:09,580
appen punkt?
432 00:17:10,440 --> 00:17:12,180
Vilka olika typer av nätverksinterface
433 00:17:12,180 --> 00:17:13,360
finns det? Hur bygger vi dem?
434 00:17:13,900 --> 00:17:15,340
Vad händer om man går via en proxy?
435 00:17:15,560 --> 00:17:17,360
Vad händer om man har
436 00:17:17,360 --> 00:17:18,900
MDM, vad heter det?
437 00:17:20,900 --> 00:17:21,600
MDM, alltså
438 00:17:21,600 --> 00:17:22,900
Mobile Device Manager Policy System.
439 00:17:23,080 --> 00:17:25,260
Typ som säger att du får inte göra det här
440 00:17:25,260 --> 00:17:26,980
men du får göra det här. Det finns ju företag som
441 00:17:26,980 --> 00:17:29,460
mittmar alla sina företagstelefoner.
442 00:17:29,720 --> 00:17:30,120
Blablabla.
443 00:17:30,640 --> 00:17:33,540
Har du något som är utspett så kommer du hamna i märkliga lägen.
444 00:17:34,640 --> 00:17:35,380
Det känns som att
445 00:17:35,380 --> 00:17:37,460
Enterprise har ganska bra koll på sånt här.
446 00:17:37,600 --> 00:17:38,520
Jag har varit med och testat
447 00:17:38,520 --> 00:17:40,380
stora företag.
448 00:17:41,440 --> 00:17:42,940
En stor biltillverkare till exempel.
449 00:17:43,060 --> 00:17:45,660
De har ganska bra koll på olika anslutningsscenarion.
450 00:17:47,380 --> 00:17:47,660
Och sådär.
451 00:17:48,560 --> 00:17:49,360
Det är ju så här
452 00:17:49,360 --> 00:17:51,840
det var generiska tester
453 00:17:51,840 --> 00:17:52,120
bara.
454 00:17:53,080 --> 00:17:55,160
Det var ingenting som specifikt
455 00:17:55,160 --> 00:17:57,080
hade tagits fram för att testa i mobilapp utan det var bara
456 00:17:57,080 --> 00:17:59,080
det här är det vi har.
457 00:18:00,000 --> 00:18:01,100
Och det var ju ändå ganska
458 00:18:01,100 --> 00:18:02,600
omfattande tester.
459 00:18:03,060 --> 00:18:04,280
Det är klart att det går att göra rätt.
460 00:18:04,540 --> 00:18:06,180
Tycker ni inte att det här är lite konstigt ändå?
461 00:18:06,300 --> 00:18:07,760
Visst det är typfall som är konstigt.
462 00:18:08,240 --> 00:18:11,360
Den här specifika buggen är ju väldigt märklig
463 00:18:11,360 --> 00:18:12,960
för det måste ju faktiskt ha
464 00:18:12,960 --> 00:18:14,360
kodat detta.
465 00:18:14,740 --> 00:18:17,160
Att det finns en möjlighet
466 00:18:17,160 --> 00:18:18,680
att köra basic authentication
467 00:18:18,680 --> 00:18:20,800
ska ju inte vara där överhållet.
468 00:18:20,800 --> 00:18:22,960
Det är jättekonstigt.
469 00:18:23,080 --> 00:18:24,180
Någon
470 00:18:24,180 --> 00:18:26,820
antingen finns det ju i ett lib
471 00:18:26,820 --> 00:18:29,040
eller så finns det i direktkod
472 00:18:29,040 --> 00:18:31,080
som hon själv har skrivit en fallback
473 00:18:31,080 --> 00:18:31,580
rutin.
474 00:18:34,020 --> 00:18:37,080
Vi hade lagt typ fem minuter på att
475 00:18:37,080 --> 00:18:38,840
resonera fram det här och vi kan redan nu
476 00:18:38,840 --> 00:18:41,120
konstatera att det är ganska konstigt
477 00:18:41,120 --> 00:18:41,400
ändå.
478 00:18:43,120 --> 00:18:44,920
För mig känns inte det som en
479 00:18:44,920 --> 00:18:46,220
rimlig tågordning ens.
480 00:18:46,760 --> 00:18:46,900
Nej.
481 00:18:46,900 --> 00:18:48,080
Nej men
482 00:18:48,080 --> 00:18:50,720
det finns
483 00:18:50,720 --> 00:18:52,840
dels så tycker jag att man har stött på
484 00:18:52,840 --> 00:18:54,840
mycket legacy-konstruktioner
485 00:18:54,840 --> 00:18:56,660
där det är såhär, ja men någon gjorde
486 00:18:56,660 --> 00:18:58,380
någonting för någon anledning någon gång.
487 00:18:58,400 --> 00:18:59,940
Det kommer från det mörka hållet Java.
488 00:19:02,020 --> 00:19:02,980
Hela Java är
489 00:19:02,980 --> 00:19:03,280
legacy.
490 00:19:04,140 --> 00:19:06,320
Det finns ingen ny cutting-edge-grej i Java.
491 00:19:06,680 --> 00:19:08,880
Men jag har ju sett
492 00:19:08,880 --> 00:19:11,020
fall då man har
493 00:19:11,020 --> 00:19:12,740
jobbat med Liban och inte exakt
494 00:19:12,740 --> 00:19:14,660
det vi beskriver nu men andra grejer
495 00:19:14,660 --> 00:19:17,000
som varit konstigt oväntat har inträffat.
496 00:19:17,860 --> 00:19:18,800
Ja men det är också rimligt
497 00:19:18,800 --> 00:19:19,940
vem har koll på
498 00:19:19,940 --> 00:19:22,580
alla funktioner i ett bibliotek man importerar
499 00:19:22,580 --> 00:19:24,720
i sitt bygge. Det har ju, väldigt sällan
500 00:19:24,720 --> 00:19:26,500
har man ju det. Det är ju lite
501 00:19:26,500 --> 00:19:28,660
poängen. Men jag vet ju att
502 00:19:28,660 --> 00:19:30,660
i en helt annan teknikstack så
503 00:19:30,660 --> 00:19:32,900
jag har stött på. Jag tänker på npm-install
504 00:19:32,900 --> 00:19:34,660
där alltså bara. Ja just det. Men jag vet
505 00:19:34,660 --> 00:19:36,660
ju att vi har gjort, eller
506 00:19:36,660 --> 00:19:38,540
jag har gjort pentester för en
507 00:19:38,540 --> 00:19:40,620
kund för länge sedan tillbaks
508 00:19:40,620 --> 00:19:42,680
där just
509 00:19:42,680 --> 00:19:44,580
varienten att om
510 00:19:44,580 --> 00:19:47,120
jag orsakade problem på HTTPS-snöret
511 00:19:47,120 --> 00:19:48,560
så slog det över
512 00:19:48,560 --> 00:19:50,560
till HTTP. Och då blev
513 00:19:50,560 --> 00:19:52,580
ju mottagaren blev förvånad och kände inte
514 00:19:52,580 --> 00:19:54,320
till att det skulle finnas någon funktionalitet.
515 00:19:54,720 --> 00:19:56,580
Just det. Och där har ju inte jag
516 00:19:56,580 --> 00:19:58,520
någonsin sett källkoden eller
517 00:19:58,520 --> 00:20:00,860
undersökt vad var root cause
518 00:20:00,860 --> 00:20:02,980
men just varianten
519 00:20:02,980 --> 00:20:04,860
att det går aldrig
520 00:20:04,860 --> 00:20:06,760
på HTTP förutom
521 00:20:06,760 --> 00:20:08,520
när HTTPS börjar strula.
522 00:20:08,960 --> 00:20:10,680
Den har jag sett i tester.
523 00:20:11,220 --> 00:20:12,340
Ja och det kan ju
524 00:20:12,340 --> 00:20:14,880
det skulle ju kunna vara ett legitimt förfarande
525 00:20:14,880 --> 00:20:16,820
beroende på vad det är för trafik som skickas
526 00:20:16,820 --> 00:20:19,020
och tas emot. Alltså att du har en fallback
527 00:20:19,020 --> 00:20:20,480
till HTTP om
528 00:20:20,480 --> 00:20:22,540
Absolut. Men att man
529 00:20:22,580 --> 00:20:24,340
har en fallback till HTTP
530 00:20:24,340 --> 00:20:26,140
med basic authentication
531 00:20:26,140 --> 00:20:28,160
för ett larmsystem.
532 00:20:28,340 --> 00:20:30,780
Då har man inte tänkt igenom
533 00:20:30,780 --> 00:20:32,840
hur kommunikationsflödena
534 00:20:32,840 --> 00:20:34,780
går till. Eller så
535 00:20:34,780 --> 00:20:36,540
är det bara så att man har inte förstått att
536 00:20:36,540 --> 00:20:38,520
det går i plain text.
537 00:20:38,620 --> 00:20:40,420
Man fattar inte vad S-et gör egentligen
538 00:20:40,420 --> 00:20:42,500
i det här sammanhanget. Och det är allt för
539 00:20:42,500 --> 00:20:44,720
enkapsuleringen i det här scenariot i alla fall.
540 00:20:46,180 --> 00:20:47,060
Men samtidigt
541 00:20:47,060 --> 00:20:48,680
så är det ju lätt att vara
542 00:20:48,680 --> 00:20:49,140
efterklok.
543 00:20:50,420 --> 00:20:52,560
Hur proxy-sörm kommer in?
544 00:20:52,580 --> 00:20:53,920
Men det skulle ju kunna vara någonting
545 00:20:53,920 --> 00:20:56,120
så att någon har tänkt att om man
546 00:20:56,120 --> 00:20:58,300
av någon anledning konfigurerar för att gå in med proxy
547 00:20:58,300 --> 00:20:59,780
så kommer den terminera SSL.
548 00:21:00,400 --> 00:21:01,500
Så då måste vi köra över HTTP.
549 00:21:02,140 --> 00:21:04,060
Den behöver ju inte göra det men ett scenario
550 00:21:04,060 --> 00:21:05,980
av en proxy är att den skulle kunna
551 00:21:05,980 --> 00:21:07,920
bryta handskakningen
552 00:21:07,920 --> 00:21:09,980
och skaka om så att säga.
553 00:21:10,820 --> 00:21:12,380
Men den behöver ju inte göra det.
554 00:21:12,480 --> 00:21:13,840
Men om den inte ska göra det så måste du handla sig
555 00:21:13,840 --> 00:21:15,040
av ett annat certifikat.
556 00:21:15,640 --> 00:21:17,720
Och då blir det här med
557 00:21:17,720 --> 00:21:19,840
certifikatpinning och sånt blir ju knasigt då.
558 00:21:20,020 --> 00:21:21,500
Men man kan ju tänka sig att
559 00:21:21,500 --> 00:21:24,160
mer än en person på insidan
560 00:21:24,160 --> 00:21:26,020
som har fått ta tag i det här
561 00:21:26,020 --> 00:21:28,260
kanske också tycker att det inte var så jävla
562 00:21:28,260 --> 00:21:29,480
lysande.
563 00:21:29,580 --> 00:21:32,800
Det är en avdelning att förklara
564 00:21:32,800 --> 00:21:34,160
om ni vet något mer.
565 00:21:35,320 --> 00:21:36,680
Vi sitter och väntar på det.
566 00:21:37,460 --> 00:21:38,700
Jag har en rolig nyhet.
567 00:21:38,760 --> 00:21:39,260
Ska vi gå vidare?
568 00:21:40,020 --> 00:21:41,180
Jag har en rolig nyhet som jag
569 00:21:41,180 --> 00:21:43,660
inte har förberett jättemycket men
570 00:21:43,660 --> 00:21:46,340
som slog mig med tanke på
571 00:21:46,340 --> 00:21:47,060
bloatware.
572 00:21:47,380 --> 00:21:48,980
När man köper en dator från
573 00:21:48,980 --> 00:21:51,260
HP eller Lenovo förr i tiden.
574 00:21:51,500 --> 00:21:52,240
Dell som det var.
575 00:21:52,240 --> 00:21:52,640
Precis.
576 00:21:53,460 --> 00:21:55,580
Dell hade ju en
577 00:21:55,580 --> 00:21:57,720
det var ju någon av deras
578 00:21:57,720 --> 00:21:59,920
bloatware som kommer med.
579 00:22:00,020 --> 00:22:00,820
Jag tror det var i deras
580 00:22:00,820 --> 00:22:02,300
support assistant.
581 00:22:02,780 --> 00:22:04,460
Dell system detect tror jag det var.
582 00:22:04,600 --> 00:22:06,220
Pratade inte vi om detta förra avsnittet?
583 00:22:06,260 --> 00:22:09,840
Gjorde vi det? Jag var ju inte med i andra avsnittet förra gången.
584 00:22:09,980 --> 00:22:11,440
Kan man ha gjort det? Jag inbjuder mig att ni inte har
585 00:22:11,440 --> 00:22:12,880
träffat efter förra avsnittet.
586 00:22:12,900 --> 00:22:16,160
Jag tror bara att det är någonting som är väldigt snarlikt.
587 00:22:16,220 --> 00:22:17,400
Jag tror att det var i början av minam
588 00:22:17,400 --> 00:22:18,000
med den här.
589 00:22:19,240 --> 00:22:20,080
Hur som helst.
590 00:22:20,220 --> 00:22:21,320
Var remote code execution.
591 00:22:21,500 --> 00:22:24,420
I deras applikationer då.
592 00:22:25,060 --> 00:22:26,260
För att den drar igång
593 00:22:26,260 --> 00:22:28,020
en webbserver lokalt
594 00:22:28,020 --> 00:22:30,140
som då exponerar
595 00:22:30,140 --> 00:22:31,180
en massa olika portar.
596 00:22:31,380 --> 00:22:34,140
Där man kan göra massa roliga saker
597 00:22:34,140 --> 00:22:35,120
med datorn.
598 00:22:35,440 --> 00:22:37,900
Det var nog Asus datorer som hade
599 00:22:37,900 --> 00:22:38,840
precis samma problem.
600 00:22:38,980 --> 00:22:42,080
Man kan tänka sig då att om det är en researcher som har
601 00:22:42,080 --> 00:22:43,880
lagt ner tid på ett
602 00:22:43,880 --> 00:22:45,600
sånt bundle och tittat på flera.
603 00:22:45,600 --> 00:22:47,100
Men jag tycker det är roligt för att
604 00:22:47,100 --> 00:22:49,860
alla jag känner som har koll
605 00:22:49,860 --> 00:22:50,940
på datorer.
606 00:22:51,500 --> 00:22:52,960
För det första man gör är att man blåser en dator.
607 00:22:52,960 --> 00:22:55,820
Särskilt när man köper då en PC framförallt
608 00:22:55,820 --> 00:22:57,500
upplever jag det som mackarna jag har använt i
609 00:22:57,500 --> 00:22:59,500
mina liv har inte haft så mycket blotware på sig.
610 00:22:59,620 --> 00:23:01,700
Nej, de brukar ju vara rätt begränsade med det.
611 00:23:01,760 --> 00:23:03,620
Men ja, jag körde ju Windows jättelänge.
612 00:23:03,620 --> 00:23:06,140
I början av min säkerhetsbana så körde jag allt
613 00:23:06,140 --> 00:23:08,140
på Windows och då var det just det att det är så
614 00:23:08,140 --> 00:23:10,940
jäkla mycket skit som kör på datorn när man då
615 00:23:10,940 --> 00:23:14,120
köper en märkesburk typ HP eller Dell eller Lenovo.
616 00:23:14,480 --> 00:23:16,900
Lenovo hade väl också den här Superfish-grejen.
617 00:23:16,900 --> 00:23:17,500
Var det Lenovo?
618 00:23:17,740 --> 00:23:18,540
Det tror jag det var.
619 00:23:18,540 --> 00:23:21,060
Ja, som bara packar ner allt möjligt skräp i.
620 00:23:21,500 --> 00:23:21,960
Ja, det är roligt.
621 00:23:22,780 --> 00:23:24,500
Ja, kul side note dock.
622 00:23:24,580 --> 00:23:27,500
Dell säljer ju en del burkar så det är en mäktig
623 00:23:27,500 --> 00:23:29,140
finding ändå till den researchen.
624 00:23:29,260 --> 00:23:32,920
Men var det samma modus där som på Asus-grejen?
625 00:23:33,520 --> 00:23:35,920
Jag kan inte detaljer men jag misstänker att den här
626 00:23:35,920 --> 00:23:38,180
lokala webbservern, nu gissar jag bara,
627 00:23:38,300 --> 00:23:39,340
så nu kommer vi få hat med det.
628 00:23:39,640 --> 00:23:41,600
Men jag gissar att den lokala mejlservern
629 00:23:41,600 --> 00:23:43,920
inte är boundad till localhost eller till en
630 00:23:44,800 --> 00:23:46,920
specifik icke…
631 00:23:47,760 --> 00:23:49,400
Ja, den sätter sig på 000.
632 00:23:50,180 --> 00:23:50,700
Ja, för jag tror…
633 00:23:50,700 --> 00:23:51,480
Till allt som…
634 00:23:51,480 --> 00:23:53,080
Jag vet inte.
635 00:23:53,160 --> 00:23:54,820
Vi får kolla på det.
636 00:23:54,880 --> 00:23:56,120
Vi får ju väldigt lite hat-mejl
637 00:23:56,120 --> 00:23:58,460
men om ni vill skicka ett informerande mejl…
638 00:23:58,460 --> 00:24:00,300
Skicka det till donotreply
639 00:24:00,300 --> 00:24:01,880
at securityfest.com
640 00:24:01,880 --> 00:24:03,680
Jag gillar det som Kalle Lind har i
641 00:24:03,680 --> 00:24:04,980
Snedtänkt-podcasten.
642 00:24:05,020 --> 00:24:07,220
Han mejlade sig hur helst bara
643 00:24:07,220 --> 00:24:08,120
positiv respons
644 00:24:08,120 --> 00:24:09,880
att vad det nu är, gmail.com
645 00:24:09,880 --> 00:24:12,440
Vi fick ju önskemål på
646 00:24:12,440 --> 00:24:14,580
på samtalsämne.
647 00:24:16,220 --> 00:24:19,520
Det här är en lång spin-off i mitt huvud
648 00:24:19,520 --> 00:24:21,300
men det handlade om att Jesper sa
649 00:24:21,300 --> 00:24:24,020
onödiga lokala
650 00:24:24,020 --> 00:24:24,860
webbservrar.
651 00:24:25,120 --> 00:24:27,260
Det är så det spannar över i mitt huvud det här.
652 00:24:27,260 --> 00:24:27,840
Men…
653 00:24:27,840 --> 00:24:32,720
Det finns ju någonting som heter
654 00:24:32,720 --> 00:24:35,140
FIDO. Det vet jag inte om alla
655 00:24:35,140 --> 00:24:36,820
har lyssnat och hört talas om, men det är
656 00:24:36,820 --> 00:24:39,120
ett antal standarder som
657 00:24:39,120 --> 00:24:40,000
försöker
658 00:24:40,000 --> 00:24:42,880
binda ihop lokala
659 00:24:42,880 --> 00:24:44,580
autentisering, antingen med
660 00:24:44,580 --> 00:24:47,680
biometri eller med
661 00:24:47,680 --> 00:24:48,440
små sådana här
662 00:24:48,440 --> 00:24:50,900
U2F-autentiseringstokens.
663 00:24:51,300 --> 00:24:54,880
Och koppla det hela vägen upp
664 00:24:54,880 --> 00:24:56,380
mot att göra
665 00:24:56,380 --> 00:24:58,740
liksom riktig
666 00:24:58,740 --> 00:25:00,560
PQI-autentisering mot
667 00:25:00,560 --> 00:25:01,920
webbservrar.
668 00:25:03,260 --> 00:25:04,940
Och vi blev ombedda
669 00:25:04,940 --> 00:25:06,400
av de här, nu minns jag inte
670 00:25:06,400 --> 00:25:08,020
nämna på dem, men de som gör
671 00:25:08,020 --> 00:25:10,480
Yubikey och så. Yubikå heter de va?
672 00:25:10,560 --> 00:25:11,160
Ja, Yubikå.
673 00:25:11,500 --> 00:25:13,800
Så en snubbe där kontaktade ju podcasten
674 00:25:13,800 --> 00:25:15,980
när WebOffN blev
675 00:25:15,980 --> 00:25:17,180
standardiserat för
676 00:25:17,180 --> 00:25:19,620
det här har nog gått ett år sedan
677 00:25:19,620 --> 00:25:20,060
men
678 00:25:20,060 --> 00:25:20,220
men
679 00:25:20,220 --> 00:25:20,460
men
680 00:25:20,460 --> 00:25:20,620
men
681 00:25:20,620 --> 00:25:21,060
men
682 00:25:21,060 --> 00:25:21,280
men
683 00:25:21,300 --> 00:25:22,880
, han ville att vi skulle göra ett avsnitt
684 00:25:22,880 --> 00:25:25,220
och snacka om WebOffN och just hur
685 00:25:25,220 --> 00:25:27,520
hur det nu har blivit standardiserat
686 00:25:27,520 --> 00:25:28,880
och fler och fler webbläsare
687 00:25:28,880 --> 00:25:31,520
börjar stödja
688 00:25:31,520 --> 00:25:33,280
att faktiskt webbautentisera
689 00:25:33,280 --> 00:25:33,980
sig med
690 00:25:33,980 --> 00:25:36,520
det. Men
691 00:25:36,520 --> 00:25:39,260
vi har ju failat på att göra
692 00:25:39,260 --> 00:25:40,400
det avsnittet än så länge.
693 00:25:41,300 --> 00:25:42,660
Så jag försöker
694 00:25:42,660 --> 00:25:44,940
ragga upp dem igen och
695 00:25:44,940 --> 00:25:46,500
ta ett omtag på det här, men
696 00:25:46,500 --> 00:25:49,100
det är ju risk i business och några andra
697 00:25:49,100 --> 00:25:50,640
har börjat prata om det här så att det är
698 00:25:50,640 --> 00:25:51,060
liksom
699 00:25:51,060 --> 00:25:52,300
det ligger lite i tiden.
700 00:25:52,300 --> 00:25:54,060
Ja, det behövde lite mer tryck på
701 00:25:54,060 --> 00:25:55,980
liksom få bort
702 00:25:55,980 --> 00:25:58,960
lösenord för webbinloggningen.
703 00:25:59,240 --> 00:26:01,100
Det hade ju varit en väldigt bra idé.
704 00:26:02,020 --> 00:26:02,420
Om
705 00:26:02,420 --> 00:26:04,600
det sitter någon där ute som lyssnar på detta
706 00:26:04,600 --> 00:26:06,760
som har råkoll på området
707 00:26:06,760 --> 00:26:07,780
så kan ni ju höra av er.
708 00:26:08,520 --> 00:26:09,800
Då tar vi gärna en diskussion med er.
709 00:26:10,820 --> 00:26:12,480
Förslaget var ju att vi skulle göra det här
710 00:26:12,480 --> 00:26:14,780
avsnittet nu lite väl för att känna allt
711 00:26:14,780 --> 00:26:16,780
på Security Fest och då
712 00:26:16,780 --> 00:26:19,020
jag kände det, det finns
713 00:26:19,020 --> 00:26:20,900
ett par människor i podcasten som känns lite
714 00:26:20,900 --> 00:26:22,600
upptagna under Security Fest.
715 00:26:22,740 --> 00:26:24,920
Jag misstänker att vi kanske kommer att ha lite annat att göra
716 00:26:24,920 --> 00:26:26,120
under de dagarna.
717 00:26:27,520 --> 00:26:28,860
Det brukar bli så. Peter också
718 00:26:28,860 --> 00:26:29,520
skulle jag misstänka.
719 00:26:29,780 --> 00:26:33,000
Ja, just det. Jag tänkte, vi ska prata mycket.
720 00:26:33,540 --> 00:26:34,100
Men Peter kommer
721 00:26:34,100 --> 00:26:36,780
vara väldigt… Mattias kommer att slå
722 00:26:36,780 --> 00:26:38,900
i en monter så att det är väl i så fall Rickard
723 00:26:38,900 --> 00:26:40,440
som möjligtvis kan göra någonting.
724 00:26:40,660 --> 00:26:42,460
Ja, det har det faktiskt inte. Jag tänkte inte på det innan.
725 00:26:43,960 --> 00:26:44,920
Vet vi om
726 00:26:44,920 --> 00:26:46,640
Robin från Post kommer? Ingen aning.
727 00:26:46,840 --> 00:26:48,540
Vi kan gå in och kolla sen. Jag minns inte.
728 00:26:48,620 --> 00:26:50,580
Men om han är där så kanske det dyker upp något.
729 00:26:50,900 --> 00:26:53,140
Vi kan väl ta och hoppa vidare
730 00:26:53,140 --> 00:26:54,660
lite halsigt och lustigt. Peter, har du
731 00:26:54,660 --> 00:26:56,740
någon annan rolig punkt du vill ta upp?
732 00:26:57,380 --> 00:26:58,760
Oj, jag håller på
733 00:26:58,760 --> 00:27:00,900
att tjuvkicka i…
734 00:27:01,520 --> 00:27:02,860
Jag googlade lite
735 00:27:02,860 --> 00:27:04,560
snabbt på den här Dell-sorberheten. Jag hade ju helt fel.
736 00:27:05,800 --> 00:27:06,440
Det är ju…
737 00:27:06,440 --> 00:27:08,800
Det är inte alls bara en RCA
738 00:27:08,800 --> 00:27:11,120
rätt upp och ner utan det är ju
739 00:27:11,120 --> 00:27:12,700
lite mer avancerat än så.
740 00:27:13,260 --> 00:27:14,280
Det handlar ju om att
741 00:27:14,280 --> 00:27:16,400
det finnerna är ju tillit i en hjälper i typ
742 00:27:16,400 --> 00:27:17,760
drivvisar och så vidare.
743 00:27:18,740 --> 00:27:20,360
Någon männingsmiddel-grej då?
744 00:27:20,360 --> 00:27:20,760
Nej, du måste…
745 00:27:20,900 --> 00:27:23,520
Antingen så får du hitta någon
746 00:27:23,520 --> 00:27:25,740
CSRF i Dell.com
747 00:27:25,740 --> 00:27:27,440
eller så får du ha någon
748 00:27:27,440 --> 00:27:29,240
DNS-hijack eller
749 00:27:29,240 --> 00:27:31,820
en lokal applikation på systemet
750 00:27:31,820 --> 00:27:33,620
och så vidare. Så det var inte
751 00:27:33,620 --> 00:27:35,600
så coolt som att det var bara
752 00:27:35,600 --> 00:27:37,580
one-clicking. Men det är ändå en kul
753 00:27:37,580 --> 00:27:39,640
grej. Kanske man kan göra typ R-poisoning
754 00:27:39,640 --> 00:27:41,720
och DNS-hijacking. Får du nog lära dig
755 00:27:41,720 --> 00:27:43,680
något annat då? Precis, och då kör den
756 00:27:43,680 --> 00:27:44,100
detta
757 00:27:44,100 --> 00:27:47,520
direkt. Så det är
758 00:27:47,520 --> 00:27:49,540
en bra delivery-method för malware
759 00:27:49,540 --> 00:27:50,060
till exempel.
760 00:27:50,900 --> 00:27:51,540
Men
761 00:27:51,540 --> 00:27:55,000
F-Secure
762 00:27:55,000 --> 00:27:57,340
de började kolla på
763 00:27:57,340 --> 00:27:59,360
IBM-produkter och
764 00:27:59,360 --> 00:28:01,020
någon middelbar grundkassometer
765 00:28:01,020 --> 00:28:02,960
API-Connect. Just det.
766 00:28:05,200 --> 00:28:06,740
Och den är tydligen
767 00:28:06,740 --> 00:28:09,040
sexy för att det finns någon
768 00:28:09,040 --> 00:28:11,160
öppen standard
769 00:28:11,160 --> 00:28:13,200
för runtbetallösningar
770 00:28:13,780 --> 00:28:15,300
som är lagstiftade i ett antal
771 00:28:15,300 --> 00:28:16,960
länder att man ska stödja.
772 00:28:18,180 --> 00:28:19,020
Och i och med att IBM
773 00:28:19,020 --> 00:28:20,700
är den största implementerande
774 00:28:20,900 --> 00:28:22,980
implementatören av den så
775 00:28:22,980 --> 00:28:24,920
betyder det här att bankerna oftast
776 00:28:24,920 --> 00:28:26,180
kör då IBM
777 00:28:26,180 --> 00:28:29,020
API-Connect. Så att det här är en produkt
778 00:28:29,020 --> 00:28:31,220
som, det kanske inte är så att
779 00:28:31,220 --> 00:28:33,140
varenda femåring ute på stan kör den
780 00:28:33,140 --> 00:28:35,060
men däremot de stora bankerna
781 00:28:35,060 --> 00:28:36,940
tenderar att köra den. Det brukar ju vara ett
782 00:28:36,940 --> 00:28:38,860
rätt saftigt mål om man jämför med femåringar
783 00:28:38,860 --> 00:28:39,420
på stan.
784 00:28:40,940 --> 00:28:42,140
Det beror på vem man frågar.
785 00:28:42,700 --> 00:28:43,700
Och de kedjade
786 00:28:43,700 --> 00:28:46,880
två sårbarheter. Den första
787 00:28:46,880 --> 00:28:48,420
var ju väldigt sådana här
788 00:28:50,900 --> 00:28:53,040
osexig, lågseveritig
789 00:28:53,040 --> 00:28:54,960
bugg som folk inte brukar få panik
790 00:28:54,960 --> 00:28:56,260
över. Och det var att
791 00:28:56,260 --> 00:28:58,580
du kunde snacka med en
792 00:28:58,580 --> 00:29:01,320
service-side
793 00:29:01,320 --> 00:29:03,400
request forger. Det vill säga du
794 00:29:03,400 --> 00:29:05,100
du snackar
795 00:29:05,100 --> 00:29:06,580
med en grunka på
796 00:29:06,580 --> 00:29:09,040
insidan. Du snackar
797 00:29:09,040 --> 00:29:11,060
med något på utsidan som genererar
798 00:29:11,060 --> 00:29:12,520
att det blir ett request på insidan.
799 00:29:14,120 --> 00:29:15,060
Väldigt lik
800 00:29:15,060 --> 00:29:16,420
många av de grejerna du har
801 00:29:16,420 --> 00:29:18,440
när du har hackat Kubernetes och sånt.
802 00:29:18,440 --> 00:29:20,620
Just hitta en
803 00:29:20,620 --> 00:29:21,680
liten språngbräda in.
804 00:29:23,080 --> 00:29:24,360
Och tydligen
805 00:29:24,360 --> 00:29:26,480
så är det ju då inte helt ovanligt att
806 00:29:26,480 --> 00:29:28,360
på insidan så står det
807 00:29:28,360 --> 00:29:30,440
en konfigurationstjänst
808 00:29:31,040 --> 00:29:31,920
för hela det här
809 00:29:31,920 --> 00:29:34,320
gucket då. Som
810 00:29:34,320 --> 00:29:35,880
kan vara ställd på
811 00:29:35,880 --> 00:29:38,440
en typ, ligger på local host eller liknande
812 00:29:38,440 --> 00:29:40,300
och inte kräver någon autentisering
813 00:29:40,300 --> 00:29:42,240
eller någonting. Det finns ju massa
814 00:29:42,240 --> 00:29:44,020
sådana konstiga demoner i stora
815 00:29:44,020 --> 00:29:45,800
enterprise-produkter. Så
816 00:29:45,800 --> 00:29:48,100
de kedjade en sårbarhet där de
817 00:29:48,100 --> 00:29:50,320
först service-side request forger
818 00:29:50,320 --> 00:29:52,840
i insidan
819 00:29:52,840 --> 00:29:54,380
och därifrån så kan de
820 00:29:54,380 --> 00:29:54,740
då
821 00:29:54,740 --> 00:29:58,180
blindt injicera
822 00:29:58,180 --> 00:30:00,100
kod och ta över
823 00:30:00,100 --> 00:30:01,880
systemet. Där hittade de en
824 00:30:01,880 --> 00:30:04,160
den andra buggen där var en remote code execution
825 00:30:04,160 --> 00:30:06,200
på rest API-et för
826 00:30:06,200 --> 00:30:07,480
det här systemet.
827 00:30:07,480 --> 00:30:09,440
Jag tror en avsikt är att
828 00:30:09,440 --> 00:30:12,140
installera funktionalitet eller någonting
829 00:30:12,140 --> 00:30:13,720
sånt tror jag det var.
830 00:30:13,940 --> 00:30:15,540
Jag tänker också, det är såhär
831 00:30:15,540 --> 00:30:17,600
det är därför den här
832 00:30:17,600 --> 00:30:20,020
traditionella, jag predikar jättemycket om det.
833 00:30:20,320 --> 00:30:22,340
Att vi måste börja titta på ingress
834 00:30:22,340 --> 00:30:24,340
och ingresskontroller. Vi måste börja fatta
835 00:30:24,340 --> 00:30:26,140
att djupförsvarsprincipen försvinner inte
836 00:30:26,140 --> 00:30:28,180
när vi kör servless-teknologier.
837 00:30:28,560 --> 00:30:30,440
Vi gör bara skitmycket svårare
838 00:30:30,440 --> 00:30:32,200
för oss själva. Men det här är ett praktexempel
839 00:30:32,200 --> 00:30:33,600
på de grejerna där man har liksom…
840 00:30:33,600 --> 00:30:36,000
Det hade inte varit fel med autentisering på den porten.
841 00:30:36,220 --> 00:30:37,200
Det hade varit jättebra.
842 00:30:37,360 --> 00:30:39,740
Det tar de ju upp som en
843 00:30:39,740 --> 00:30:42,160
åtgärd, att du kan ställa in den
844 00:30:42,160 --> 00:30:43,840
på att kräva autentisering eller
845 00:30:43,840 --> 00:30:44,820
klientsart och sånt.
846 00:30:45,500 --> 00:30:48,360
Det är ju därför
847 00:30:48,360 --> 00:30:49,920
också som SSRF, alltså
848 00:30:50,320 --> 00:30:52,320
head request forgery, har blivit så
849 00:30:52,320 --> 00:30:53,680
stort de senaste åren.
850 00:30:54,120 --> 00:30:56,200
För att vi har sett, framförallt när cloudlösningar
851 00:30:56,200 --> 00:30:58,140
och sånt där kommer, att har du en
852 00:30:58,140 --> 00:31:00,120
SSRF-bug i ett Amazon
853 00:31:00,120 --> 00:31:02,240
lustig exempelvis, så kan du ansluta
854 00:31:02,240 --> 00:31:04,140
till konfigurations-
855 00:31:04,140 --> 00:31:06,040
IP-adresserna för
856 00:31:06,040 --> 00:31:08,140
de noderna. Och inte bara det,
857 00:31:08,260 --> 00:31:10,560
vi har liksom broadcast av metadata
858 00:31:10,560 --> 00:31:12,400
i nästan alla våra
859 00:31:12,400 --> 00:31:14,160
cloud-tjänster idag. Och det är ju
860 00:31:14,160 --> 00:31:16,000
inte så jävla konstigt när vi ska dela på saker.
861 00:31:16,400 --> 00:31:18,300
Ja, exakt. Det är ju så man kanske vill
862 00:31:18,300 --> 00:31:20,200
bygga det. Men man måste bara vara
863 00:31:20,320 --> 00:31:22,120
tydlig med det och definiera sin säkerhetsmodell
864 00:31:22,120 --> 00:31:24,320
runt det. Vilket jag tror är
865 00:31:24,320 --> 00:31:26,500
ja, det är inte så tydligt.
866 00:31:26,920 --> 00:31:28,160
Det är liksom lätt att
867 00:31:28,160 --> 00:31:30,140
bara få det att funka.
868 00:31:30,300 --> 00:31:32,060
Det är inte så tydligt att, okej,
869 00:31:32,140 --> 00:31:34,440
vad är nu mina endpunkter? Vad börjar
870 00:31:34,440 --> 00:31:36,360
den här säkerhetszonen
871 00:31:36,360 --> 00:31:38,280
och vad slutar den här säkerhetszonen? Vilka tjänster
872 00:31:38,280 --> 00:31:40,340
är exponerade? Vilka tjänster är inte
873 00:31:40,340 --> 00:31:42,060
exponerade? Amazon är ett asbra
874 00:31:42,060 --> 00:31:43,460
exempel där faktiskt, Johan. För jag menar,
875 00:31:43,920 --> 00:31:46,140
titta på Amazons säkerhetsmodell. De är
876 00:31:46,140 --> 00:31:48,220
ganska duktiga på att ha CL-kontroller externt.
877 00:31:48,660 --> 00:31:49,660
Men när man väl är i
878 00:31:50,320 --> 00:31:52,500
ett interlumentärt nät,
879 00:31:52,500 --> 00:31:54,380
då, nu kanske inte i en
880 00:31:54,380 --> 00:31:56,340
EC2-instans kanske, men i
881 00:31:56,340 --> 00:31:58,520
olika av deras mikrotjänster så är det
882 00:31:58,520 --> 00:32:00,400
liksom, ja men välkommen in till den varma
883 00:32:00,400 --> 00:32:02,440
insidan. Och då är
884 00:32:02,440 --> 00:32:04,620
SSRF en vektor
885 00:32:04,620 --> 00:32:06,320
som i många fall är helt förödan.
886 00:32:06,420 --> 00:32:07,940
För det är det enda vi har. Vi har bara
887 00:32:07,940 --> 00:32:10,140
in- och utsidetänket. Och där finns ju
888 00:32:10,140 --> 00:32:11,240
väldigt mycket av dina hemligheter.
889 00:32:11,700 --> 00:32:14,380
Den klassiska äggmodellen, det är
890 00:32:14,380 --> 00:32:15,980
ett hårt skal och sen är det
891 00:32:15,980 --> 00:32:18,440
äckligt guck på insidan.
892 00:32:18,480 --> 00:32:20,300
Ja, men som igår. Jag har ett skåp nu.
893 00:32:20,320 --> 00:32:22,280
Vi har 640
894 00:32:22,280 --> 00:32:24,280
adresser. Du vet, får man ett sånt
895 00:32:24,280 --> 00:32:25,340
skåp, då är det så här
896 00:32:25,340 --> 00:32:28,820
och det är all okönsskit
897 00:32:28,820 --> 00:32:30,140
bara publicerat hej vilt
898 00:32:30,140 --> 00:32:31,780
runt omkring. Så här,
899 00:32:32,260 --> 00:32:34,180
det är så onödigt. Vi kommer bara
900 00:32:34,180 --> 00:32:35,840
leta efter en enda
901 00:32:35,840 --> 00:32:38,260
ingångsvektor. Och vi kommer
902 00:32:38,260 --> 00:32:40,400
bara fokusera på den för att ta oss igenom äggskalet.
903 00:32:40,500 --> 00:32:41,460
Det är precis det som hände.
904 00:32:42,020 --> 00:32:44,240
Jag funderar på om det inte kan vara så att när du kör
905 00:32:44,240 --> 00:32:46,180
alltså antingen containerized
906 00:32:46,180 --> 00:32:48,000
alltså serverless infrastructure
907 00:32:48,000 --> 00:32:49,680
eller cloudbaserad.
908 00:32:50,320 --> 00:32:51,760
Hur du nu lägger upp det. Så jag tror att folk
909 00:32:51,760 --> 00:32:53,820
eftersom att det ofta
910 00:32:53,820 --> 00:32:55,680
manageras på ett helt annat sätt än
911 00:32:55,680 --> 00:32:57,800
klassisk infrastruktur så tänker man inte på
912 00:32:57,800 --> 00:33:00,000
infrastrukturmodellen som man har gjort tidigare
913 00:33:00,000 --> 00:33:01,680
med segmentering och såna här saker.
914 00:33:01,880 --> 00:33:03,720
För att det funkar inte på samma sätt riktigt.
915 00:33:04,440 --> 00:33:05,380
Fast egentligen gör det ju det.
916 00:33:05,780 --> 00:33:07,340
Du har precis samma problematik där.
917 00:33:07,760 --> 00:33:09,780
Det är bara det att det inte konfigureras likadant.
918 00:33:10,260 --> 00:33:10,900
Du kan inte liksom.
919 00:33:10,940 --> 00:33:13,740
Det blir ju mer, vi går ju mer mot
920 00:33:13,740 --> 00:33:14,080
ett
921 00:33:14,080 --> 00:33:16,960
appliance
922 00:33:16,960 --> 00:33:20,240
alltså ett software defined networking lagar.
923 00:33:20,320 --> 00:33:22,380
Och det är också rimligt att vi gör
924 00:33:22,380 --> 00:33:24,360
för det är dyrt med hårdvara. Det är dyrt att ta fram
925 00:33:24,360 --> 00:33:25,820
hårdvara. Det är dyrt att sälja hårdvara.
926 00:33:25,960 --> 00:33:27,560
Det är dyrt att distribuera och underhålla hårdvara.
927 00:33:28,080 --> 00:33:29,800
Så det är väl rimligt att det blir så här.
928 00:33:29,920 --> 00:33:31,420
Men man ska veta, det du säger,
929 00:33:31,580 --> 00:33:34,300
den gamla typen av att bygga nätverk
930 00:33:34,300 --> 00:33:36,240
det gäller ju fortfarande. Jag menar, det var ju inte det att man var
931 00:33:36,240 --> 00:33:37,800
dålig på det. Det var det att det var dyrt bara.
932 00:33:37,980 --> 00:33:40,440
Exakt. Och den problematiken har ju inte försvunnit
933 00:33:40,440 --> 00:33:41,120
bara för att du
934 00:33:41,120 --> 00:33:43,380
konfigurerar det annorlunda.
935 00:33:43,820 --> 00:33:44,140
Sammanstack.
936 00:33:45,380 --> 00:33:48,280
Och lite på det
937 00:33:48,280 --> 00:33:50,120
temat så hade vi väl i nyhetslistan
938 00:33:50,120 --> 00:33:51,320
någonting om dockerhub.
939 00:33:51,320 --> 00:33:52,940
Ja, just det. Det var också roligt.
940 00:33:53,000 --> 00:33:54,180
Det var ju bound to happen, alltså.
941 00:33:55,280 --> 00:33:57,320
Har vi pratat om dockerhub-grejen?
942 00:33:57,460 --> 00:33:58,120
Inte den senaste.
943 00:33:59,020 --> 00:33:59,980
Den senaste?
944 00:34:00,520 --> 00:34:03,080
Det kom någon förbörjade
945 00:34:03,080 --> 00:34:04,120
det här om en par dagar sedan.
946 00:34:04,140 --> 00:34:05,000
Det är det jag tänker på.
947 00:34:06,100 --> 00:34:08,960
Som jag tror är nästan en repeat för någonting
948 00:34:08,960 --> 00:34:10,900
vi talade om kanske ett halvår sedan.
949 00:34:10,900 --> 00:34:11,900
Det har hänt innan.
950 00:34:12,880 --> 00:34:14,420
Det är inte bara en duschaviod.
951 00:34:15,280 --> 00:34:17,280
Den senaste var väl
952 00:34:17,280 --> 00:34:19,720
en återmekanism
953 00:34:19,720 --> 00:34:20,080
som
954 00:34:20,080 --> 00:34:22,640
det var väl OAuth som var lite små
955 00:34:22,640 --> 00:34:25,640
Boundary control i OAuth
956 00:34:25,640 --> 00:34:27,100
var väl lite knasigt, va?
957 00:34:27,540 --> 00:34:30,380
Så hade du access så hade du access till allt.
958 00:34:31,560 --> 00:34:33,360
Snilla spekulera just nu känns det som.
959 00:34:33,680 --> 00:34:35,200
Ja, jag kan jobba en ganska…
960 00:34:35,200 --> 00:34:36,720
Eller har du koll bättre?
961 00:34:38,340 --> 00:34:40,760
Jag har en väldigt ytlig koll
962 00:34:40,760 --> 00:34:43,220
men det ena var ju att det rök i massvis
963 00:34:43,220 --> 00:34:44,300
med OAuth-biljetter.
964 00:34:44,500 --> 00:34:47,440
Dels till GitHub-konton.
965 00:34:47,640 --> 00:34:48,780
Eller var det så att det var databasen som
966 00:34:48,780 --> 00:34:49,240
var i…
967 00:34:50,080 --> 00:34:52,440
De tappade kontroll över
968 00:34:52,440 --> 00:34:54,760
dels vad som låg på Docker-hub
969 00:34:54,760 --> 00:34:56,920
och de tappade bort en hel
970 00:34:56,920 --> 00:34:59,160
punkt OAuth-biljetter i samma veva.
971 00:35:00,260 --> 00:35:01,920
Och den här
972 00:35:01,920 --> 00:35:03,880
incidenten
973 00:35:03,880 --> 00:35:06,820
är inte samma som de tidigare incidenterna
974 00:35:06,820 --> 00:35:08,680
men det finns en likhet här.
975 00:35:11,140 --> 00:35:13,440
Och 90 000 användare…
976 00:35:13,440 --> 00:35:14,840
Och bland annat bakdörrar
977 00:35:14,840 --> 00:35:16,480
är det väl någon av de största
978 00:35:16,480 --> 00:35:19,040
Linux-distributionerna för Docker.
979 00:35:19,920 --> 00:35:20,060
Mm.
980 00:35:20,080 --> 00:35:22,580
Och Vips var liksom jättemycket
981 00:35:22,580 --> 00:35:24,220
indirekt infekterat
982 00:35:24,220 --> 00:35:26,140
innan man gjorde så här…
983 00:35:26,140 --> 00:35:27,220
Inom gick in och tryckte
984 00:35:27,220 --> 00:35:29,200
Ctrl-Z på attacken.
985 00:35:29,480 --> 00:35:31,200
Men det var så här var det.
986 00:35:31,220 --> 00:35:32,380
Det var hashade lösenord,
987 00:35:32,580 --> 00:35:34,960
GitHub och Bitbucket-tokens
988 00:35:34,960 --> 00:35:37,380
för att autobygga olika containers
989 00:35:37,380 --> 00:35:38,320
som läckte.
990 00:35:38,820 --> 00:35:40,520
Det var 5 %
991 00:35:40,520 --> 00:35:43,000
av deras totala databas
992 00:35:43,000 --> 00:35:45,740
som blev attackerad.
993 00:35:46,000 --> 00:35:48,200
190 000 användare läckte.
994 00:35:48,200 --> 00:35:49,200
Men de…
995 00:35:50,080 --> 00:35:52,080
Folk kan ju iallafall
996 00:35:52,080 --> 00:35:54,420
bakdöra den största Linux-distributionen
997 00:35:54,420 --> 00:35:55,740
en liten, liten stund.
998 00:35:55,740 --> 00:35:56,920
Ja, skitcoolt.
999 00:35:56,920 --> 00:35:59,320
Apropå…
1000 00:35:59,320 --> 00:36:00,320
Men det tänker man också så här.
1001 00:36:00,320 --> 00:36:03,000
Det är samma Launchpad och Snap och…
1002 00:36:03,000 --> 00:36:04,880
Men de får ju inte gå sönder.
1003 00:36:05,000 --> 00:36:05,500
Nej, precis.
1004 00:36:05,660 --> 00:36:06,360
Det är inte okej.
1005 00:36:06,520 --> 00:36:08,000
Det måste vara…
1006 00:36:08,000 --> 00:36:09,140
Men integriteten måste…
1007 00:36:09,140 --> 00:36:10,040
Okej, Launchpad…
1008 00:36:10,040 --> 00:36:12,780
Men nu, våran rotavtrost.
1009 00:36:13,180 --> 00:36:14,320
Hur stor är den?
1010 00:36:14,540 --> 00:36:16,620
Hur stora delar av internet
1011 00:36:16,620 --> 00:36:18,580
är en del av våran rotavtrost
1012 00:36:18,580 --> 00:36:19,080
för närvarande?
1013 00:36:19,200 --> 00:36:19,920
Jo, men alltså…
1014 00:36:19,920 --> 00:36:22,160
Ja, nej, men det gör ont
1015 00:36:22,160 --> 00:36:23,240
när sånt här händer.
1016 00:36:23,380 --> 00:36:26,120
Jo, men ta typ Launchpad
1017 00:36:26,120 --> 00:36:27,600
till exempel, eller Snap så här.
1018 00:36:28,040 --> 00:36:30,220
Ja, det går snabbt att installera
1019 00:36:30,220 --> 00:36:30,820
och få igång.
1020 00:36:31,100 --> 00:36:32,380
Men vem är det som maintainar då?
1021 00:36:32,800 --> 00:36:33,900
Hur många gör sin doodillion
1022 00:36:33,900 --> 00:36:34,460
och kollar?
1023 00:36:34,580 --> 00:36:36,000
Vem är det som faktiskt sitter
1024 00:36:36,000 --> 00:36:36,820
på de här goa grejerna?
1025 00:36:36,880 --> 00:36:38,320
Jag hittade det här på en bloggpost
1026 00:36:38,320 --> 00:36:40,400
som var SEO-ad och landade högst upp
1027 00:36:40,400 --> 00:36:41,780
när jag sökte på de här nyckelorden
1028 00:36:41,780 --> 00:36:42,700
på Google.
1029 00:36:43,540 --> 00:36:44,460
It must be legit.
1030 00:36:45,040 --> 00:36:45,860
Nej, men då kör vi på.
1031 00:36:46,180 --> 00:36:46,320
Ja.
1032 00:36:47,000 --> 00:36:47,360
Va, eller?
1033 00:36:48,100 --> 00:36:49,620
Men det är väl rätt många
1034 00:36:49,620 --> 00:36:51,100
av de olika…
1035 00:36:51,100 --> 00:36:54,240
Om vi kallar det som repository
1036 00:36:54,240 --> 00:36:57,140
som samlingsnamn för göttiga ställen
1037 00:36:57,140 --> 00:36:58,700
där man får goa grejer.
1038 00:36:58,880 --> 00:36:59,880
Ja, sourcecode.
1039 00:37:00,480 --> 00:37:03,500
Ja, sourcecode och paket.
1040 00:37:04,180 --> 00:37:05,040
Helst inga hemligheter.
1041 00:37:05,040 --> 00:37:06,700
Men det är väl rätt många sådana där
1042 00:37:06,700 --> 00:37:08,780
som har blivit hackade.
1043 00:37:09,260 --> 00:37:10,460
Och det är rimligt också
1044 00:37:10,460 --> 00:37:12,340
för att de installeras med höga rättigheter
1045 00:37:12,340 --> 00:37:13,940
och bara trycks rätt in i brummingdalen.
1046 00:37:14,120 --> 00:37:16,260
Men vi kan ju inte…
1047 00:37:16,260 --> 00:37:17,700
För de flesta företag
1048 00:37:17,700 --> 00:37:19,460
så kan vi ju inte ta med
1049 00:37:19,460 --> 00:37:22,560
det i våran hoet-modell
1050 00:37:22,560 --> 00:37:24,760
för det skulle ju kräva…
1051 00:37:24,760 --> 00:37:26,180
Alltså, ska vi skydda oss mot det?
1052 00:37:26,280 --> 00:37:28,100
Det är ju rätt mycket vi trycker på
1053 00:37:28,100 --> 00:37:30,380
operations och utvecklare.
1054 00:37:30,400 --> 00:37:31,940
Nej, det här är ett svårt problem.
1055 00:37:32,440 --> 00:37:34,160
Nu pratar vi bara…
1056 00:37:34,160 --> 00:37:36,020
Nu pratar vi också imagear för
1057 00:37:36,020 --> 00:37:38,520
byggen, alltså rudimentära…
1058 00:37:38,520 --> 00:37:40,060
Det uppenbara svaret här är ju att
1059 00:37:40,060 --> 00:37:41,800
du får ju aldrig någonsin ha det här
1060 00:37:41,800 --> 00:37:43,640
ute på internet, utan du måste ju ha
1061 00:37:43,640 --> 00:37:46,060
din egen mirror-repository
1062 00:37:46,060 --> 00:37:47,920
som du själv underhåller
1063 00:37:47,920 --> 00:37:49,440
och tittar väldigt noga på.
1064 00:37:49,460 --> 00:37:51,020
Allting, och vet att det är säkert.
1065 00:37:51,020 --> 00:37:51,520
Både ja och nej.
1066 00:37:53,140 --> 00:37:53,500
Men…
1067 00:37:53,500 --> 00:37:55,900
Hur trevligt är det att underhålla den?
1068 00:37:56,020 --> 00:37:57,680
Och var det en saten som ser till
1069 00:37:57,680 --> 00:37:59,120
att vi har ett eget repostor
1070 00:37:59,120 --> 00:38:00,320
och att det är säkert?
1071 00:38:00,560 --> 00:38:01,200
Men så här är det ju.
1072 00:38:01,640 --> 00:38:02,840
Dockerhub generellt.
1073 00:38:03,220 --> 00:38:04,620
Du drar ju ner en image,
1074 00:38:04,800 --> 00:38:06,180
sen ligger ju imagen lokalt.
1075 00:38:06,760 --> 00:38:08,680
Sen kan du tagga den med latest
1076 00:38:08,680 --> 00:38:10,460
eller att du hela tiden rycker ner
1077 00:38:10,460 --> 00:38:11,540
den senaste bygget varje gång
1078 00:38:11,540 --> 00:38:13,240
du trottlar din container.
1079 00:38:13,720 --> 00:38:14,760
Men normalt sett så har du ju
1080 00:38:14,760 --> 00:38:16,660
ett lokalt image-repository
1081 00:38:16,660 --> 00:38:17,660
så det kanske är bara att man
1082 00:38:17,660 --> 00:38:19,040
behöver hålla koll på
1083 00:38:19,040 --> 00:38:21,860
en integritetstågordning där
1084 00:38:21,860 --> 00:38:23,500
att man kanske inte helt villkorslöst
1085 00:38:23,500 --> 00:38:24,560
bara drar ner grejer.
1086 00:38:24,980 --> 00:38:27,980
I det här fallet så är det ju jävligt läskigt
1087 00:38:27,980 --> 00:38:29,760
för att man äger ju också då issuer.
1088 00:38:30,400 --> 00:38:33,000
Så om du kanske då är duktig
1089 00:38:33,000 --> 00:38:35,060
och validerar integriteten mot checksummar
1090 00:38:35,060 --> 00:38:36,260
eller vad fan det nu kan tänkas vara.
1091 00:38:36,660 --> 00:38:38,200
Det spelar ingen roll för att det är ju
1092 00:38:38,200 --> 00:38:40,800
the source of the things som är ägd.
1093 00:38:41,060 --> 00:38:42,560
Men normalt sett så är det inte det.
1094 00:38:42,700 --> 00:38:44,240
Men Jesper, ge oss det lätta svaret nu.
1095 00:38:44,520 --> 00:38:46,600
Hur ska någon med en liten insats
1096 00:38:46,600 --> 00:38:48,620
se till att det här inte är ett problem för en?
1097 00:38:49,040 --> 00:38:49,860
I gräskontroll.
1098 00:38:51,460 --> 00:38:52,300
Nej, jag skojar bara.
1099 00:38:52,720 --> 00:38:55,320
Men alltså, det här är inte så jävla lätt.
1100 00:38:55,420 --> 00:38:56,080
Nej, det är jättesvårt.
1101 00:38:56,400 --> 00:38:59,100
Och någonting som är ännu klurigare
1102 00:38:59,100 --> 00:39:00,900
det är just tredjepartis pendensis
1103 00:39:00,900 --> 00:39:02,640
i ramverk som man använder
1104 00:39:02,640 --> 00:39:03,440
som vi pratade om innan.
1105 00:39:03,800 --> 00:39:05,920
Man landar in något lib för att ta hand om
1106 00:39:05,920 --> 00:39:06,080
XML.
1107 00:39:06,080 --> 00:39:07,380
Som i sin tur tar ner
1108 00:39:07,380 --> 00:39:09,020
1400 andra libs.
1109 00:39:09,620 --> 00:39:10,880
Och som använder liksom små
1110 00:39:10,880 --> 00:39:13,100
snippets i en miljard saker.
1111 00:39:13,300 --> 00:39:14,620
Det blir liksom jättejobbigt.
1112 00:39:15,000 --> 00:39:16,320
Det finns ju verktyg för detta dock
1113 00:39:16,320 --> 00:39:17,400
att validera dependencies.
1114 00:39:17,660 --> 00:39:19,020
Jo, men hur många använder du?
1115 00:39:19,020 --> 00:39:21,200
Jag tycker fler och fler
1116 00:39:21,200 --> 00:39:22,560
börjar ju kopiera på mig
1117 00:39:22,560 --> 00:39:24,460
att det första du gör
1118 00:39:24,460 --> 00:39:26,480
när du gör ditt första bygge
1119 00:39:26,480 --> 00:39:28,000
det är att tanka hem internet.
1120 00:39:28,460 --> 00:39:30,340
Det har ju blivit standardförfarandet.
1121 00:39:30,500 --> 00:39:32,300
Jag kommer ju säkert vilja ha det här
1122 00:39:32,300 --> 00:39:33,340
någon gång så vi tar allt.
1123 00:39:35,420 --> 00:39:39,540
Det finns ju inget enkelt svar här
1124 00:39:39,540 --> 00:39:40,820
men det viktiga är väl att man
1125 00:39:40,820 --> 00:39:43,000
när man sitter på…
1126 00:39:43,000 --> 00:39:45,520
Framförallt om du jobbar med kritiska saker.
1127 00:39:46,060 --> 00:39:47,220
Ja, men det är där man får göra
1128 00:39:47,220 --> 00:39:48,780
sin hotanalys eller sin risk.
1129 00:39:49,020 --> 00:39:51,180
Och sen hotmodellera efter det.
1130 00:39:52,400 --> 00:39:55,240
Och sen inte lita på saker i onödan
1131 00:39:55,240 --> 00:39:56,480
för att du vet förmodligen inte.
1132 00:39:56,900 --> 00:39:59,440
Nej, men sen handlar det också om att känna sin produkt.
1133 00:39:59,580 --> 00:40:02,400
Jag menar, det är kanske inte jättemånga
1134 00:40:02,400 --> 00:40:03,880
som validerar allt man använder
1135 00:40:03,880 --> 00:40:06,700
i form av dependencies och så vidare.
1136 00:40:06,900 --> 00:40:08,540
Eller skriv allting själv bara.
1137 00:40:09,040 --> 00:40:09,180
Ja.
1138 00:40:11,300 --> 00:40:11,740
Precis.
1139 00:40:12,300 --> 00:40:13,220
Du kan fråga sig gud.
1140 00:40:14,220 --> 00:40:15,940
Men om du skriver allting själv
1141 00:40:15,940 --> 00:40:18,800
då är det här målbilden om att vara agil.
1142 00:40:19,020 --> 00:40:20,020
Snabb och lätt rörlig.
1143 00:40:20,040 --> 00:40:21,680
Nej, men det ska vi gå bort ifrån ändå.
1144 00:40:22,000 --> 00:40:22,980
Det här med Unity-testing.
1145 00:40:23,200 --> 00:40:25,820
Börja med att skriva lite inprogrammering i språk.
1146 00:40:26,560 --> 00:40:27,700
Jobba dig uppåt därifrån.
1147 00:40:28,180 --> 00:40:28,960
Skriv allt i Go.
1148 00:40:29,680 --> 00:40:30,800
Ja, då är man säker.
1149 00:40:31,100 --> 00:40:33,400
Det hade varit kul om det är någon riktigt mäktig
1150 00:40:33,400 --> 00:40:35,540
Go-utvecklare där ute som också är intresserad
1151 00:40:35,540 --> 00:40:37,900
av it-säkerhet. Kan inte ni komma hit
1152 00:40:37,900 --> 00:40:39,380
och berätta för mig hur man hackar Go?
1153 00:40:40,960 --> 00:40:42,440
Jag vill liksom ha reda på
1154 00:40:42,440 --> 00:40:44,520
funktionalitetsproblemet.
1155 00:40:44,520 --> 00:40:45,460
Sinks i Go.
1156 00:40:45,800 --> 00:40:48,140
Bra attackvektorer i Go.
1157 00:40:48,160 --> 00:40:48,980
Det finns lite roliga saker.
1158 00:40:49,020 --> 00:40:50,260
Vi vill nog få någon hit.
1159 00:40:50,460 --> 00:40:53,040
Men gör det det? Jag blir deprimerad när jag sitter och googlar.
1160 00:40:53,520 --> 00:40:55,660
Men det är inte såhär, okej, det här kan vi prata lite om.
1161 00:40:55,860 --> 00:40:56,640
Det är bara en snabb base.
1162 00:40:57,260 --> 00:40:59,340
Go. Det är svårt.
1163 00:40:59,840 --> 00:41:01,980
Om man ska bygga en trasig Go-applikation.
1164 00:41:02,220 --> 00:41:04,340
Nu hoppas jag att jag får väldigt mycket kritik här.
1165 00:41:04,820 --> 00:41:06,680
Alltså, det är jävligt mycket dumma grejer
1166 00:41:06,680 --> 00:41:08,000
man måste göra i kedja
1167 00:41:08,000 --> 00:41:10,180
för att det ska bli dåligt på riktigt.
1168 00:41:10,220 --> 00:41:12,540
Inte nödvändigtvis. Du beror på lite vad det är du pratar om.
1169 00:41:12,540 --> 00:41:14,200
Det är skitsvårt att kompila någonting
1170 00:41:14,200 --> 00:41:15,860
med massa osäkra funktioner till exempel.
1171 00:41:16,740 --> 00:41:17,420
Jo, men om du…
1172 00:41:17,420 --> 00:41:19,000
Men jag har ju året att gå.
1173 00:41:19,020 --> 00:41:20,860
Det var ju en god kod som innehöll
1174 00:41:20,860 --> 00:41:24,320
fina SQL-injections och sånt.
1175 00:41:24,380 --> 00:41:25,860
Det var inget problem för dem att skapa det.
1176 00:41:27,240 --> 00:41:28,460
Nej, det är okej.
1177 00:41:29,180 --> 00:41:30,580
Men du menar typ
1178 00:41:30,580 --> 00:41:32,060
buffrover-flow?
1179 00:41:32,060 --> 00:41:34,060
Ja, jag tycker att Inline liksom synks i Go.
1180 00:41:34,080 --> 00:41:35,040
Det är ju svårt, tyvärr.
1181 00:41:35,420 --> 00:41:39,080
För att det är ju hyfsat säkert på det sättet.
1182 00:41:39,320 --> 00:41:41,060
Å andra sidan så är det ju inte kompilerat
1183 00:41:41,060 --> 00:41:43,020
med oscillator och sådana saker.
1184 00:41:43,220 --> 00:41:45,080
Så har man problem så blir det ju jobbigt.
1185 00:41:45,640 --> 00:41:46,820
Ja, men det är såhär.
1186 00:41:47,420 --> 00:41:48,640
Kompilera någonting då
1187 00:41:48,640 --> 00:41:48,820
som…
1188 00:41:49,020 --> 00:41:51,240
Som är minnesosäkert.
1189 00:41:51,380 --> 00:41:52,000
Ja, absolut.
1190 00:41:52,440 --> 00:41:53,420
Det kommer liksom…
1191 00:41:53,420 --> 00:41:54,560
Men det finns ju andra problem då
1192 00:41:54,560 --> 00:41:55,960
om du bortser från typ buffrover-flow.
1193 00:41:56,060 --> 00:41:58,740
Om du exempelvis bygger webbapplikationer i Go.
1194 00:41:58,740 --> 00:41:58,880
Ja.
1195 00:41:59,380 --> 00:42:01,360
Där finns ju annan problematik.
1196 00:42:01,480 --> 00:42:03,260
Exempelvis är det ganska lätt att ta fel på
1197 00:42:03,260 --> 00:42:07,740
hur du ska visa upp innehåll för en användare.
1198 00:42:07,860 --> 00:42:08,920
Så XSS-problematik
1199 00:42:08,920 --> 00:42:10,760
är inte helt ovanligt i Go.
1200 00:42:11,380 --> 00:42:11,720
Exempelvis.
1201 00:42:12,700 --> 00:42:14,040
Ja, det där måste jag lära mig mer om.
1202 00:42:14,540 --> 00:42:16,460
Jag har tittat på ganska mycket Go-byggen
1203 00:42:16,460 --> 00:42:18,840
och jag kan väl följa kod och sånt.
1204 00:42:19,020 --> 00:42:19,620
Det är som ni säger.
1205 00:42:19,940 --> 00:42:22,820
Det landar mycket i konsumering av andra saker
1206 00:42:22,820 --> 00:42:24,480
som inte är Go-native.
1207 00:42:25,100 --> 00:42:26,520
Men jag…
1208 00:42:26,520 --> 00:42:28,020
Det är såhär…
1209 00:42:28,020 --> 00:42:30,540
Men överhuvudtaget, om du känner för att…
1210 00:42:30,540 --> 00:42:31,640
Vad är alla lua-grejer?
1211 00:42:31,800 --> 00:42:34,640
Men om du känner för att komma till Göteborg
1212 00:42:34,640 --> 00:42:36,340
och prata om någonting.
1213 00:42:36,440 --> 00:42:38,460
Ja, men Go eller något fucking liknande.
1214 00:42:38,580 --> 00:42:39,840
Rust eller vad fan som helst.
1215 00:42:39,840 --> 00:42:40,460
Kolla på…
1216 00:42:40,460 --> 00:42:42,980
Kom fucking hit och vi bjuder dig på
1217 00:42:42,980 --> 00:42:44,560
ryska allförnärvarande.
1218 00:42:45,100 --> 00:42:47,180
Adelind hade ju topp på Security Fest.
1219 00:42:47,820 --> 00:42:49,000
Där han gjorde audit av en Go-app.
1220 00:42:49,020 --> 00:42:50,440
Mattemost.
1221 00:42:50,600 --> 00:42:51,400
Ja, det är ju Go.
1222 00:42:52,400 --> 00:42:54,400
Så den kan man ju börja med att kolla på.
1223 00:42:54,960 --> 00:42:55,620
Det ska jag nog göra.
1224 00:42:56,200 --> 00:42:57,780
Men det där gillar jag…
1225 00:42:57,780 --> 00:42:59,580
Hörrni, om ni håller på att lyssna på det här.
1226 00:42:59,820 --> 00:43:01,580
Lyssna på Peter, kom hit, hör av er.
1227 00:43:02,740 --> 00:43:04,780
Kontaktat sakhetspodcasten.com
1228 00:43:04,780 --> 00:43:07,040
Vi ska prata lite snabbt om
1229 00:43:07,040 --> 00:43:09,060
Crypto Exchange
1230 00:43:09,060 --> 00:43:10,120
och Binance, ja.
1231 00:43:10,540 --> 00:43:11,920
Som åkte på det lite grann.
1232 00:43:12,280 --> 00:43:12,980
Alltså API, va?
1233 00:43:13,960 --> 00:43:16,180
Ja, det var en ganska aktualiserad attack
1234 00:43:16,180 --> 00:43:18,080
eller ett flertal attacker samtidigt förmodligen.
1235 00:43:18,080 --> 00:43:19,320
Man använde olika
1236 00:43:19,320 --> 00:43:21,440
API-nycklar och
1237 00:43:21,440 --> 00:43:24,200
tvåfaktor-tokens och lite annat
1238 00:43:24,200 --> 00:43:26,100
i en kombination. Jag har inte läst de tekniska detaljerna
1239 00:43:26,100 --> 00:43:27,460
för jag vet inte om de finns publicerade.
1240 00:43:28,560 --> 00:43:30,220
Men de har själva
1241 00:43:30,220 --> 00:43:32,260
beskrivit det här som en relativt sofistikerad
1242 00:43:32,260 --> 00:43:32,560
attack.
1243 00:43:33,120 --> 00:43:36,040
De hade väl kommit över
1244 00:43:36,040 --> 00:43:37,660
2FA, alltså
1245 00:43:37,660 --> 00:43:39,520
Recovery-koder, va?
1246 00:43:39,620 --> 00:43:40,100
Jag tror det.
1247 00:43:40,940 --> 00:43:43,160
Men de hade snott en jäkla massa bitcoins, tror jag.
1248 00:43:43,320 --> 00:43:45,340
7000. Nej, men det är 40 miljoner dollar.
1249 00:43:45,340 --> 00:43:46,080
Ja, det är någon.
1250 00:43:46,840 --> 00:43:48,060
I en transaktion.
1251 00:43:48,080 --> 00:43:49,420
Också mycket.
1252 00:43:49,800 --> 00:43:52,560
Och innan då Binance…
1253 00:43:52,560 --> 00:43:53,740
Det låter som småpengar.
1254 00:43:53,840 --> 00:43:54,520
Kan ni ge dem till mig?
1255 00:43:55,860 --> 00:43:58,360
Det var ungefär 2%
1256 00:43:58,360 --> 00:43:59,840
av Binance totala
1257 00:43:59,840 --> 00:44:01,500
Cryptocurrency Holdings, säger de själva.
1258 00:44:03,340 --> 00:44:04,060
Och de har tydligen
1259 00:44:04,060 --> 00:44:05,800
en fund för det här.
1260 00:44:05,920 --> 00:44:08,680
Binance, alltså en Disaster Recovery Fund.
1261 00:44:09,040 --> 00:44:09,600
Täcker den det?
1262 00:44:09,920 --> 00:44:12,280
Så de tar tydligen 10% på transaktionerna
1263 00:44:12,280 --> 00:44:14,220
och använder det
1264 00:44:14,220 --> 00:44:15,800
för att finansiera en fund som
1265 00:44:15,800 --> 00:44:18,060
ska täcka den här typen av eventualiteter.
1266 00:44:18,080 --> 00:44:19,740
Så tydligen ska folk få tillbaka sina pengar.
1267 00:44:20,520 --> 00:44:21,700
Kul, för jag vet inte
1268 00:44:21,700 --> 00:44:22,740
vad man ska lita på längre.
1269 00:44:22,880 --> 00:44:24,680
Jag hade ju en trend förra året
1270 00:44:24,680 --> 00:44:28,100
där vi tittade på mycket smarta kontrakter
1271 00:44:28,100 --> 00:44:28,460
där jag jobbar.
1272 00:44:30,040 --> 00:44:31,900
På Cure har vi två personer
1273 00:44:31,900 --> 00:44:34,520
som i stort sett bara tittar på smarta kontraktimplementationer
1274 00:44:34,520 --> 00:44:35,460
och vi har då
1275 00:44:35,460 --> 00:44:37,220
en massa kryptobanker.
1276 00:44:37,340 --> 00:44:39,020
Eller vad säger man? Inte kryptobank.
1277 00:44:39,620 --> 00:44:40,840
Exchanger och allt möjligt.
1278 00:44:41,940 --> 00:44:43,760
Federerade API för exchanger
1279 00:44:43,760 --> 00:44:46,080
och escroplånböcker
1280 00:44:46,080 --> 00:44:47,120
och grejer.
1281 00:44:48,080 --> 00:44:51,000
Jag har testat få
1282 00:44:51,000 --> 00:44:52,380
som är väldigt seriösa
1283 00:44:52,380 --> 00:44:54,820
och många som är extremt
1284 00:44:54,820 --> 00:44:57,820
get-rich-quick-schemes
1285 00:44:57,820 --> 00:44:59,960
som är inte genomtänkt.
1286 00:45:00,340 --> 00:45:01,320
Det är massa
1287 00:45:01,320 --> 00:45:02,660
fishy-funktionalitet
1288 00:45:02,660 --> 00:45:04,920
och man är lite nervös helt enkelt.
1289 00:45:05,040 --> 00:45:06,920
Jag litar inte på någon i den här världen.
1290 00:45:07,080 --> 00:45:07,920
Det är nog inte helt omöjligt.
1291 00:45:08,160 --> 00:45:09,880
Det är väl Binance, en av de större.
1292 00:45:10,240 --> 00:45:11,120
Ja, det är väl det kanske.
1293 00:45:11,820 --> 00:45:14,600
Det låter ju som i tanke på om 40 miljoner dollar var 2%
1294 00:45:14,600 --> 00:45:15,220
av det de har.
1295 00:45:15,520 --> 00:45:17,920
Men det är ju sådant traditionellt.
1296 00:45:18,080 --> 00:45:20,740
Alla bankerna måste ju ha en reserv
1297 00:45:20,740 --> 00:45:23,260
för när krisen kommer.
1298 00:45:25,260 --> 00:45:27,180
Det här kanske är en av de här
1299 00:45:27,180 --> 00:45:28,660
incidenterna
1300 00:45:28,660 --> 00:45:30,180
där det ändå finns något sorts
1301 00:45:30,180 --> 00:45:33,240
lyckligt slut med en seriös hantering.
1302 00:45:33,240 --> 00:45:34,460
Det här är inte som
1303 00:45:34,460 --> 00:45:37,440
personen som mystiskt försvinner
1304 00:45:37,440 --> 00:45:39,220
i Indien och förklaras död
1305 00:45:39,220 --> 00:45:41,020
när det börjar gå dåligt för banken.
1306 00:45:41,560 --> 00:45:43,200
De har ju sagt att de tror
1307 00:45:43,200 --> 00:45:44,840
att det kommer bli svårt att göra en rollback
1308 00:45:44,840 --> 00:45:46,020
på alla funds
1309 00:45:46,020 --> 00:45:48,600
på grund av hur det här utfördes.
1310 00:45:49,200 --> 00:45:51,060
Men att de försöker.
1311 00:45:51,680 --> 00:45:52,660
Men vadå?
1312 00:45:52,740 --> 00:45:53,560
Det är ju också konstigt.
1313 00:45:53,700 --> 00:45:55,460
Det borde ju vara transaktioner som är loggade.
1314 00:45:55,960 --> 00:45:56,140
Ja.
1315 00:45:57,800 --> 00:45:59,240
Det där vill man ju läsa mer om.
1316 00:45:59,320 --> 00:46:01,280
Jag har inte gjort det.
1317 00:46:01,440 --> 00:46:01,960
Nej, inte jag heller.
1318 00:46:03,860 --> 00:46:06,100
Åtminstone verkar det vara någon form av show of goodwill
1319 00:46:06,100 --> 00:46:08,340
att man i alla fall har satt upp
1320 00:46:08,340 --> 00:46:09,180
en sån här fond.
1321 00:46:09,400 --> 00:46:11,140
Vi har ju villighet att betala tillbaka om det går.
1322 00:46:13,700 --> 00:46:15,940
Ska vi ta Marcus av Windows-nyheter?
1323 00:46:16,020 --> 00:46:16,960
Absolut.
1324 00:46:17,300 --> 00:46:19,960
Den första, den har ju faktiskt
1325 00:46:19,960 --> 00:46:21,280
inte med säkerhet att göra, men
1326 00:46:21,280 --> 00:46:23,900
Microsoft ska släppa en ny
1327 00:46:23,900 --> 00:46:26,000
terminalapp som ska vara
1328 00:46:26,000 --> 00:46:28,020
den ska vara
1329 00:46:28,720 --> 00:46:30,080
den ska vara minst
1330 00:46:30,080 --> 00:46:32,420
lika sexig som alla Unix-terminaler
1331 00:46:32,420 --> 00:46:34,080
och den ska
1332 00:46:34,080 --> 00:46:35,720
äta upp alla olika
1333 00:46:35,720 --> 00:46:37,940
terminallappar och bara skapa
1334 00:46:37,940 --> 00:46:40,080
en olika master user
1335 00:46:40,080 --> 00:46:41,400
experience. Den kommer vara
1336 00:46:41,400 --> 00:46:43,740
så bra och se så fin ut
1337 00:46:43,740 --> 00:46:45,580
så att du kommer sluta med gujen.
1338 00:46:45,580 --> 00:46:47,140
Du kommer bara köra den nya
1339 00:46:47,140 --> 00:46:47,460
terminallappen.
1340 00:46:47,460 --> 00:46:49,960
Som Internet Explorer också va?
1341 00:46:50,580 --> 00:46:52,380
Ja, nu ska vi gå tillbaka till Internet Explorer.
1342 00:46:52,540 --> 00:46:54,820
I Edge. Det är så jävla roligt.
1343 00:46:54,920 --> 00:46:56,900
Men frågan är
1344 00:46:56,900 --> 00:46:59,340
på allas läpparegeln då, kommer den ha
1345 00:46:59,340 --> 00:47:00,460
ett dark mode?
1346 00:47:01,100 --> 00:47:01,580
Herregud ja.
1347 00:47:02,120 --> 00:47:03,920
Inte dark mode, default.
1348 00:47:04,420 --> 00:47:07,060
Dark och green.
1349 00:47:08,040 --> 00:47:08,240
Men
1350 00:47:08,240 --> 00:47:10,880
sen kommer det en annan
1351 00:47:10,880 --> 00:47:13,220
nyhet
1352 00:47:13,220 --> 00:47:14,860
från Microsoft som verkar lite
1353 00:47:14,860 --> 00:47:15,540
små
1354 00:47:15,580 --> 00:47:17,440
tuff och som jag tror
1355 00:47:17,440 --> 00:47:19,780
en massa privacy-folk kan hålla på att oroa sig över.
1356 00:47:20,320 --> 00:47:21,260
Det är nämligen så att de kommer
1357 00:47:21,260 --> 00:47:23,560
införa attestering.
1358 00:47:23,960 --> 00:47:25,520
Det vill säga att du
1359 00:47:25,520 --> 00:47:27,620
kommer kunna få någon sorts kryptostämpel
1360 00:47:27,620 --> 00:47:29,660
på att koden som körs är
1361 00:47:29,660 --> 00:47:30,840
okej.
1362 00:47:31,500 --> 00:47:33,620
Naturligtvis givet ett par antagningar.
1363 00:47:33,640 --> 00:47:34,180
På vilket sätt?
1364 00:47:34,860 --> 00:47:36,580
Att det är den koden du vill ha där.
1365 00:47:38,280 --> 00:47:39,640
Microsoft har inga tillbakadörrar.
1366 00:47:39,860 --> 00:47:41,740
Men det kommer sitta
1367 00:47:41,740 --> 00:47:43,620
någon sorts säker
1368 00:47:43,620 --> 00:47:45,420
kodstämpling-service.
1369 00:47:45,580 --> 00:47:47,160
Som utvecklar
1370 00:47:47,160 --> 00:47:49,400
closed source och är proprietär.
1371 00:47:50,400 --> 00:47:53,100
Som allt är bra.
1372 00:47:53,280 --> 00:47:55,360
Man skulle till exempel kunna ha att
1373 00:47:55,360 --> 00:47:57,480
du vet att du snackar
1374 00:47:57,480 --> 00:48:00,060
med någon betrodd Windows-komponent
1375 00:48:00,060 --> 00:48:01,800
när någon gör ett anslut till dig.
1376 00:48:03,140 --> 00:48:04,600
Folk har spekulerat i att
1377 00:48:04,600 --> 00:48:06,220
det här skulle kunna tänkas vara
1378 00:48:06,220 --> 00:48:07,900
coolt för spelutvecklare
1379 00:48:07,900 --> 00:48:10,080
och sånt. De ska kunna veta att
1380 00:48:10,080 --> 00:48:11,600
det som ansluter är inte någon
1381 00:48:11,600 --> 00:48:13,640
sån här, jag vet inte om den fortfarande heter
1382 00:48:13,640 --> 00:48:14,940
Punkbuster eller vad det nu är.
1383 00:48:15,580 --> 00:48:19,620
Det är inte så att det är det som ansluter
1384 00:48:19,620 --> 00:48:21,420
utan det som ansluter faktiskt är
1385 00:48:21,420 --> 00:48:24,160
någonting att Microsoft Windows
1386 00:48:24,160 --> 00:48:26,200
på något sätt kan garantera
1387 00:48:26,200 --> 00:48:28,480
att det som ansluter är det som ska vara där.
1388 00:48:28,840 --> 00:48:29,720
Kul, för jag gillar det.
1389 00:48:29,760 --> 00:48:31,100
Vi uppar äntligt på
1390 00:48:31,100 --> 00:48:33,620
det blir svårare och svårare exploit-kedjor
1391 00:48:33,620 --> 00:48:35,300
med sådana här funktioner.
1392 00:48:35,440 --> 00:48:37,480
Gör man det något nytt chip då?
1393 00:48:38,640 --> 00:48:39,400
Det är nog mjukvara.
1394 00:48:39,400 --> 00:48:41,540
Eller lägger man det i
1395 00:48:41,540 --> 00:48:42,900
någon stämma eller någonting?
1396 00:48:43,060 --> 00:48:45,400
I Windows 10 så finns det
1397 00:48:45,580 --> 00:48:47,600
ju, om du
1398 00:48:47,600 --> 00:48:48,980
slår på Hypervisor
1399 00:48:48,980 --> 00:48:51,300
och lite annat så finns det
1400 00:48:51,300 --> 00:48:53,280
ett säkert
1401 00:48:53,280 --> 00:48:54,960
subsystem som
1402 00:48:54,960 --> 00:48:57,560
liksom, det är inte
1403 00:48:57,560 --> 00:48:59,540
botat i själva Windows utan det ligger
1404 00:48:59,540 --> 00:49:00,680
utanför Windows.
1405 00:49:00,960 --> 00:49:02,640
Som då,
1406 00:49:03,400 --> 00:49:04,520
där du då kan
1407 00:49:04,520 --> 00:49:07,580
köra Microsofts
1408 00:49:08,240 --> 00:49:09,620
säkra kod.
1409 00:49:10,320 --> 00:49:11,440
Och den har i en stor del sätt
1410 00:49:11,440 --> 00:49:13,580
typ nästan inte haft någon
1411 00:49:13,580 --> 00:49:15,040
feature värd att nämna.
1412 00:49:15,580 --> 00:49:17,640
Det som har funnits har varit att du kunnat
1413 00:49:17,640 --> 00:49:19,620
aktivera Credential Guard
1414 00:49:19,620 --> 00:49:21,640
som ska göra att det blir lite
1415 00:49:21,640 --> 00:49:23,620
svårare att sno sådana här
1416 00:49:23,620 --> 00:49:25,860
jag tror de är inte
1417 00:49:25,860 --> 00:49:27,280
LM-token, så vad heter de?
1418 00:49:27,860 --> 00:49:29,920
Ja, eller Kerberos-biljetter eller vad som helst.
1419 00:49:30,420 --> 00:49:31,340
Ås-data.
1420 00:49:31,520 --> 00:49:33,740
Så att det här, de göttigaste ljushemligheterna
1421 00:49:34,660 --> 00:49:36,020
har flyttats utifrån
1422 00:49:36,020 --> 00:49:37,700
Windows och legat i laget under.
1423 00:49:38,780 --> 00:49:39,800
Men nu kommer
1424 00:49:39,800 --> 00:49:41,660
det en funktion som skulle
1425 00:49:41,660 --> 00:49:43,100
kunna vara intressant för mer
1426 00:49:43,100 --> 00:49:45,420
liksom utanför
1427 00:49:45,420 --> 00:49:47,460
själva datorn. Man använder
1428 00:49:47,460 --> 00:49:49,320
VSM för att ge en
1429 00:49:49,320 --> 00:49:51,180
cool funktionalitet för
1430 00:49:51,180 --> 00:49:52,540
internetapplikationer.
1431 00:49:53,960 --> 00:49:55,240
Jag vill prata
1432 00:49:55,240 --> 00:49:56,380
IOP.
1433 00:49:57,400 --> 00:49:57,880
IOP?
1434 00:49:58,420 --> 00:50:00,620
The Integrated Joint Operation Platform.
1435 00:50:01,140 --> 00:50:03,000
Absolut. Jag tror vi tar det som vår sista
1436 00:50:03,000 --> 00:50:04,500
nyhet faktiskt. Ja, det
1437 00:50:04,500 --> 00:50:06,100
blev publikt här nu.
1438 00:50:07,480 --> 00:50:08,920
Q53 då har släppt
1439 00:50:08,920 --> 00:50:10,400
en rapport här då.
1440 00:50:11,580 --> 00:50:12,940
Vi jobbar med någonting som heter
1441 00:50:12,940 --> 00:50:14,760
Open Technology Fund som
1442 00:50:15,420 --> 00:50:17,040
på uppdrag egentligen av
1443 00:50:17,040 --> 00:50:18,560
Human Rights Watch har bett
1444 00:50:18,560 --> 00:50:19,960
QR att titta på en app.
1445 00:50:21,860 --> 00:50:23,220
Som då, ja,
1446 00:50:24,140 --> 00:50:25,060
IOP, det är
1447 00:50:25,060 --> 00:50:26,920
liksom ett policing-program från
1448 00:50:26,920 --> 00:50:29,220
Kina typ, från Xinjiang.
1449 00:50:29,780 --> 00:50:30,500
Där man,
1450 00:50:31,280 --> 00:50:33,140
ja, lite oklart vad appen gör egentligen
1451 00:50:33,140 --> 00:50:35,020
men efter lite disassembel så är ju det
1452 00:50:35,020 --> 00:50:36,820
en riktig
1453 00:50:36,820 --> 00:50:38,880
spion-app liksom. Den tittar
1454 00:50:38,880 --> 00:50:41,120
liksom på var du befinner dig
1455 00:50:41,120 --> 00:50:43,200
i geodata. Den visar,
1456 00:50:43,200 --> 00:50:44,980
den håller koll på din religion.
1457 00:50:45,420 --> 00:50:47,700
Den håller koll på blodgrupp.
1458 00:50:48,240 --> 00:50:49,100
Den håller koll på…
1459 00:50:49,100 --> 00:50:51,300
Hur gör den det här? Det måste ju vara information som det visst kommer från
1460 00:50:51,300 --> 00:50:53,100
användaren. Precis, den delas utav användaren
1461 00:50:53,100 --> 00:50:55,340
så det är någonting som blir installerat på en telefon då egentligen.
1462 00:50:55,480 --> 00:50:56,660
Så det är en app liksom.
1463 00:50:57,380 --> 00:50:58,780
Ge oss all din information. Vi kommer
1464 00:50:58,780 --> 00:51:00,580
absolut inte göra något dumt med det.
1465 00:51:00,700 --> 00:51:02,900
Nej, men lite så. Men det är ju också det när vi
1466 00:51:02,900 --> 00:51:05,080
i andra kontext där vi har varit med
1467 00:51:05,080 --> 00:51:07,180
då har ju, när man ska leverera
1468 00:51:07,180 --> 00:51:09,260
en mjukvarulösning på Kina
1469 00:51:09,260 --> 00:51:11,240
till Kina så är det ju
1470 00:51:11,240 --> 00:51:12,860
oftast ganska mycket
1471 00:51:12,860 --> 00:51:15,280
spännande krav.
1472 00:51:15,420 --> 00:51:17,080
Ja. Från kinesiska
1473 00:51:17,080 --> 00:51:18,900
myndigheter. Till exempel
1474 00:51:18,900 --> 00:51:20,600
ska du göra X behöver vi Y.
1475 00:51:21,300 --> 00:51:22,420
Och det är såhär
1476 00:51:22,420 --> 00:51:25,320
ett såhär riktigt skimärförslag
1477 00:51:25,320 --> 00:51:26,900
till varför appen är där i första
1478 00:51:26,900 --> 00:51:29,220
hand då. Men den här appen
1479 00:51:29,220 --> 00:51:31,140
egentligen, den håller koll
1480 00:51:31,140 --> 00:51:32,820
på var du befinner dig,
1481 00:51:33,080 --> 00:51:34,400
vilka wifi du har uppkopplat,
1482 00:51:34,660 --> 00:51:37,040
alltså det är liksom en riktig
1483 00:51:37,040 --> 00:51:39,360
privacy… Allting att ta reda på
1484 00:51:39,360 --> 00:51:40,920
och skicka den hem.
1485 00:51:41,100 --> 00:51:43,300
Ja, och konkatenerar
1486 00:51:43,300 --> 00:51:45,240
all den här datan då. Så att den blir
1487 00:51:45,240 --> 00:51:47,000
sökbar och spårbar till en
1488 00:51:47,000 --> 00:51:49,180
specifik individ. Alltså riktigt
1489 00:51:49,180 --> 00:51:51,000
hemskt egentligen. Det är ju läskigt.
1490 00:51:51,180 --> 00:51:53,140
Government sponsored också. Och det här spelar ju då
1491 00:51:53,140 --> 00:51:54,360
förmodligen kanske in i deras
1492 00:51:54,360 --> 00:51:57,040
social rating-system och
1493 00:51:57,040 --> 00:51:59,060
allt sånt där då. Ja, här hamnar man i en sånt där
1494 00:51:59,060 --> 00:52:00,760
vad heter de? Defacement? Nej, vad heter de heter?
1495 00:52:01,180 --> 00:52:03,280
De här campen där man har fel åsikter.
1496 00:52:03,580 --> 00:52:05,300
Kul lag. Nej, nej, nej, men de har ju det.
1497 00:52:05,400 --> 00:52:07,640
Vad heter det? Re-education.
1498 00:52:07,740 --> 00:52:09,020
Re-education camps, ja.
1499 00:52:09,360 --> 00:52:11,140
Där man får sitta och bara
1500 00:52:11,140 --> 00:52:13,280
skämmas. Ja, det är inte så tydligt.
1501 00:52:13,560 --> 00:52:15,080
Vill man läsa mer av det här
1502 00:52:15,080 --> 00:52:16,900
i detalj då så finns den på
1503 00:52:16,900 --> 00:52:18,580
Q53s hemsida under publications.
1504 00:52:19,320 --> 00:52:20,980
Då kan man få se hela rapporten
1505 00:52:20,980 --> 00:52:23,140
i sin helhet. Inte bara det som står på tidningarna.
1506 00:52:23,380 --> 00:52:24,620
Flytta inte till Kina helt enkelt.
1507 00:52:24,760 --> 00:52:27,000
Nej, det är också ett medvetet val då.
1508 00:52:27,220 --> 00:52:29,000
Members of the Q53 team
1509 00:52:29,000 --> 00:52:31,080
tested. Det står inga namn på den här
1510 00:52:31,080 --> 00:52:33,080
rapporten. Kommer inte åka till Kina ändå
1511 00:52:33,080 --> 00:52:34,680
tror jag. Det kan bli svårt nu.
1512 00:52:34,840 --> 00:52:35,500
Ja, kanske.
1513 00:52:36,800 --> 00:52:38,980
Men en kort nyhet kan jag trycka in va?
1514 00:52:39,100 --> 00:52:40,300
Absolut, du får plats med en till.
1515 00:52:41,620 --> 00:52:42,900
På Hacking with Box
1516 00:52:42,900 --> 00:52:45,000
kom
1517 00:52:45,080 --> 00:52:47,260
lansern så ska det presenteras
1518 00:52:47,260 --> 00:52:49,240
en time of
1519 00:52:49,240 --> 00:52:50,820
use, time of check
1520 00:52:50,820 --> 00:52:52,560
talk to
1521 00:52:52,560 --> 00:52:54,500
attack.
1522 00:52:54,500 --> 00:52:55,300
Sårbarhet, ja.
1523 00:52:56,140 --> 00:52:58,100
Som mot
1524 00:52:58,100 --> 00:53:00,580
Intel Boat Guard.
1525 00:53:01,200 --> 00:53:03,200
Det vill säga, vilket om jag fattar det
1526 00:53:03,200 --> 00:53:04,340
rätt så är det här
1527 00:53:04,340 --> 00:53:07,300
attack mot Intel
1528 00:53:07,300 --> 00:53:09,440
alltså Intel
1529 00:53:09,440 --> 00:53:11,480
TXT och boat measurementen
1530 00:53:11,480 --> 00:53:13,200
du får. Så att du
1531 00:53:13,200 --> 00:53:14,960
ska kunna lura
1532 00:53:15,080 --> 00:53:17,280
systemet om vilken kod
1533 00:53:17,280 --> 00:53:18,120
den har botat på.
1534 00:53:19,020 --> 00:53:20,260
Oj, det låter inte alls bra.
1535 00:53:20,800 --> 00:53:22,660
Så det skulle ju då
1536 00:53:22,660 --> 00:53:25,160
så jag tänker på bitlocker
1537 00:53:25,160 --> 00:53:26,980
och sånt skulle det ju kunna vara en attack mot
1538 00:53:26,980 --> 00:53:28,480
om du vill byta ut.
1539 00:53:28,480 --> 00:53:29,620
Och Secure Boot också tänker jag.
1540 00:53:31,360 --> 00:53:31,920
Ja, jag
1541 00:53:31,920 --> 00:53:35,160
det här är ju relevant
1542 00:53:35,160 --> 00:53:37,140
för lösningar som mäter hur datorn
1543 00:53:37,140 --> 00:53:38,100
ser ut i boten.
1544 00:53:38,980 --> 00:53:40,820
Ja, jag tror inte jag förstår riktigt.
1545 00:53:42,760 --> 00:53:43,200
Ehm
1546 00:53:43,200 --> 00:53:44,920
Det
1547 00:53:45,080 --> 00:53:46,960
Du gör ju mätningar
1548 00:53:46,960 --> 00:53:48,220
i olika steg i
1549 00:53:48,220 --> 00:53:50,060
till exempel
1550 00:53:50,060 --> 00:53:52,340
TPM attesterade
1551 00:53:52,340 --> 00:53:54,600
operationer. Så kan du
1552 00:53:54,600 --> 00:53:56,140
säga till exempel att du
1553 00:53:56,140 --> 00:53:58,180
releasar kryptonicklar och sånt
1554 00:53:58,180 --> 00:54:00,400
bara om vissa steg är uppfyllda.
1555 00:54:00,580 --> 00:54:02,100
Om bara mätningen matchar
1556 00:54:02,100 --> 00:54:03,060
vad du förväntade dig.
1557 00:54:05,180 --> 00:54:06,200
Och då Intel
1558 00:54:06,200 --> 00:54:08,120
Boat Guard, om jag förstår
1559 00:54:08,120 --> 00:54:10,000
rätt, är ett exempel på detta. Alltså att man
1560 00:54:10,000 --> 00:54:12,260
mäter
1561 00:54:12,260 --> 00:54:14,580
då själva SPI-flashet.
1562 00:54:15,080 --> 00:54:16,280
Så att du vet
1563 00:54:16,280 --> 00:54:18,840
när du botar så vet du att du botade
1564 00:54:18,840 --> 00:54:20,900
Ja, att vi botar från ett
1565 00:54:20,900 --> 00:54:22,320
valitt ställe typ.
1566 00:54:22,460 --> 00:54:24,020
Det är faktiskt våran
1567 00:54:24,020 --> 00:54:26,860
att vi har botat på
1568 00:54:26,860 --> 00:54:28,780
våran flash. Ja, vi har botat på den
1569 00:54:28,780 --> 00:54:29,920
flashen som det ska vara.
1570 00:54:30,360 --> 00:54:32,740
Och nu har de kommit på ett trick då att
1571 00:54:32,740 --> 00:54:34,760
ja men hej. Precis, att du
1572 00:54:34,760 --> 00:54:36,860
presenterar, det här är ju likt
1573 00:54:36,860 --> 00:54:39,200
Travis Goodspeed som gjorde en USB-sticka
1574 00:54:39,200 --> 00:54:40,180
som visade upp
1575 00:54:40,180 --> 00:54:42,800
ett firmware när man gjorde
1576 00:54:42,800 --> 00:54:44,880
signaturchecken och nästa gång det läses
1577 00:54:44,880 --> 00:54:46,180
så visar det något helt annat.
1578 00:54:46,720 --> 00:54:49,120
Det där låter jäkligt läskigt.
1579 00:54:49,500 --> 00:54:50,500
Så det är, ja det här
1580 00:54:50,500 --> 00:54:52,560
nu har vi inga detaljer och det kommer
1581 00:54:52,560 --> 00:54:54,820
det här kommer släppas på den konferensen
1582 00:54:54,820 --> 00:54:56,800
då men det här. När är hacken till box
1583 00:54:56,800 --> 00:54:57,020
i år?
1584 00:54:59,340 --> 00:55:00,760
Jag har kikat på min
1585 00:55:00,760 --> 00:55:02,740
mobiltelefon och den verkar hävda att det är
1586 00:55:02,740 --> 00:55:04,200
den nionde maj
1587 00:55:04,200 --> 00:55:07,160
2019. Så imorgon då?
1588 00:55:07,160 --> 00:55:08,580
Ja, imorgon.
1589 00:55:08,960 --> 00:55:10,680
Men så det här
1590 00:55:10,680 --> 00:55:13,280
beroende på vad de berättar
1591 00:55:13,280 --> 00:55:13,840
på den,
1592 00:55:14,880 --> 00:55:17,220
så skulle det kunna vara relevant för att
1593 00:55:17,220 --> 00:55:18,760
knäcka diverse
1594 00:55:18,760 --> 00:55:21,480
lösningar. För ni som investerar i
1595 00:55:21,480 --> 00:55:23,560
Intel, det är dags att gå short.
1596 00:55:23,740 --> 00:55:25,400
Det är väl mycket möjligt att vi har en
1597 00:55:25,400 --> 00:55:26,700
uppdatering på det här då nästa tid.
1598 00:55:26,700 --> 00:55:29,420
Men det här är ju en
1599 00:55:29,420 --> 00:55:31,360
problemkategori som många
1600 00:55:31,360 --> 00:55:33,320
fler tillämpningar kan vara utsatta för.
1601 00:55:34,040 --> 00:55:35,200
Och man kan ju tänka sig då
1602 00:55:35,200 --> 00:55:37,440
när vi pratar om Microsoft-attesteringen
1603 00:55:37,440 --> 00:55:39,440
för några sekunder sedan, skulle det kunna också
1604 00:55:39,440 --> 00:55:40,520
vara en variant på det här.
1605 00:55:41,460 --> 00:55:43,400
Komma emellan och få att
1606 00:55:43,400 --> 00:55:44,860
mätningen inträffar och så
1607 00:55:44,880 --> 00:55:46,920
sen switcha runt vilken
1608 00:55:46,920 --> 00:55:48,820
kod man har sen när man använder den.
1609 00:55:49,980 --> 00:55:51,020
Det är också väldigt långt
1610 00:55:51,020 --> 00:55:53,020
ner i ur-datorn.
1611 00:55:53,940 --> 00:55:55,100
Ja, nere i
1612 00:55:55,100 --> 00:55:56,860
modemodemet. När du behöver ljuga
1613 00:55:56,860 --> 00:55:58,900
om vilket SPI-flash du botar
1614 00:55:58,900 --> 00:56:00,960
ifrån, då har du gett dig in på
1615 00:56:00,960 --> 00:56:02,420
ganska låg nivå av attacker.
1616 00:56:03,460 --> 00:56:04,860
Och med de orden så tror jag att vi
1617 00:56:04,860 --> 00:56:06,520
tar och rundar av för den här gången.
1618 00:56:06,540 --> 00:56:09,000
Det känns så. Coolt. Vi är tillbaka
1619 00:56:09,000 --> 00:56:10,740
om ett antal veckor.
1620 00:56:12,000 --> 00:56:12,760
Jag som pratade lite
1621 00:56:12,760 --> 00:56:14,860
Johan Ryberg-Möller, med mig hade jag Jesper Larsson.
1622 00:56:14,880 --> 00:56:17,020
I Eten. Och Peter Magnusson.
1623 00:56:17,800 --> 00:56:18,500
Tack för mig.
1624 00:56:19,140 --> 00:56:20,420
Ha det så bra där ute.
1625 00:56:20,900 --> 00:56:22,880
Så hörs vi snart och ses förhoppningsvis
1626 00:56:22,880 --> 00:56:24,460
på Security Fest om några dagar.
1627 00:56:24,620 --> 00:56:26,600
Yes, don’t be a stranger. Peace.
1628 00:56:26,600 --> 00:56:26,940
Hej då.
1629 00:56:27,940 --> 00:56:28,120
Hej.
1630 00:56:30,780 --> 00:56:31,560
Ha det bra.