Säkerhetspodcasten #24 - Government Malware
Lyssna
Innehåll
Detta är det tjugofjärde avsnittet av Säkerhetspodcasten, i vilket panelen diskuterar malware, närmare bestämt Flame, Duqu, Stuxnet och Gauss.
Inspelat: 2014-04-07. Längd: 1:36:16.
Länkar
Operation Olympic Games
- Det påstådda CIA/Israel op som 2006-2010 skall ha motiverat Stuxnet attacken mot Iran http://en.wikipedia.org/wiki/Operation_Olympic_Games
Stuxnet 0.5 (2005-2009)
- Stuxnet 0.5 The Missing Link http://www.symantec.com/connect/blogs/stuxnet-05-missing-link
Stuxnet 1.x (2009 - 2010)
Duqu
Flame (2007 - 2012)
-
Den civila MD5-attacken från 2008 Rouge CA: MD5 considered harmfull today http://www.win.tue.nl/hashclash/rogue-ca/
Gauss (2011-2012)
-
Encrypted payload http://www.securelist.com/en/blog/208193781/The_Mystery_of_the_Encrypted_Gauss_Payload
-
oclGaussCrack http://hashcat.net/oclGaussCrack/
Rykterna om att Kapersky<->FSB (KGB) länk
Superrubriken från amerikansk slasknyheter:
- Powerful ‘Flame’ cyberweapon tied to popular Angry Birds game http://www.foxnews.com/tech/2012/05/30/powerful-flame-cyberweapon-tied-to-powerfully-angry-birds/
Varför är malware och bedräger spridda via dåligt skrivna mail med tydliga röda flaggor?
- Why do Nigerian Scammers Say They are from Nigeria? http://research.microsoft.com/pubs/167719/whyfromnigeria.pdf
Mord och bomber vid sidan av Malware
-
Iran hänger mossad agent http://www.independent.co.uk/news/world/middle-east/iran-hangs-mossad-spy-majid-jamali-fashi-for-killing-scientist-7754332.html
-
Vem dödar iranska kärnkraftsforskare? http://edition.cnn.com/2012/01/11/world/meast/iran-who-kills-scientists/
-
Massoud Ali Mohammadi http://original.antiwar.com/justin/2010/01/14/who-killed-massoud-ali-mohammadi/
-
Majid Shahriari & Fereydoon Abbasi Davani http://www.theguardian.com/world/2010/dec/05/iran-nuclear-experts-killings
-
Dariush Rezaei-Nejad http://www.pbs.org/wgbh/pages/frontline/tehranbureau/2011/07/iranian-scientist-assassinated-in-tehran-nature-of-his-work-unclear.html
-
Mostafa Ahmadi-Roshan http://www.theguardian.com/world/2012/jan/11/iran-nuclear-scientist-killed
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:29,980
Svensktextning.nu
2 00:00:30,000 --> 00:00:59,980
Svensktextning.nu
3 00:01:00,000 --> 00:01:29,980
Svensktextning.nu
4 00:01:30,000 --> 00:01:59,980
Svensktextning.nu
5 00:02:00,000 --> 00:02:29,980
Svensktextning.nu
6 00:02:30,000 --> 00:02:59,980
Svensktextning.nu
7 00:03:00,000 --> 00:03:29,980
Svensktextning.nu
8 00:03:30,000 --> 00:03:59,980
Svensktextning.nu
9 00:04:00,000 --> 00:04:29,980
Svensktextning.nu
10 00:04:29,980 --> 00:04:30,000
Svensktextning.nu
11 00:04:30,000 --> 00:04:59,980
Svensktextning.nu
12 00:05:00,000 --> 00:05:29,980
Svensktextning.nu
13 00:05:29,980 --> 00:05:30,000
Svensktextning.nu
14 00:05:30,000 --> 00:05:59,980
Svensktextning.nu
15 00:05:59,980 --> 00:06:29,960
Svensktextning.nu
16 00:06:29,960 --> 00:06:59,940
Svensktextning.nu
17 00:06:59,940 --> 00:06:59,960
Svensktextning.nu
18 00:06:59,960 --> 00:07:29,940
Svensktextning.nu
19 00:07:29,940 --> 00:07:29,960
Svensktextning.nu
20 00:07:29,960 --> 00:07:59,940
Svensktextning.nu
21 00:07:59,940 --> 00:08:29,920
Svensktextning.nu
22 00:08:29,920 --> 00:08:59,900
Svensktextning.nu
23 00:08:59,900 --> 00:09:29,880
Svensktextning.nu
24 00:09:29,880 --> 00:09:29,900
Svensktextning.nu
25 00:09:29,900 --> 00:09:30,020
Svensktextning.nu
26 00:09:30,020 --> 00:09:30,860
Svensktextning.nu
27 00:09:30,860 --> 00:09:31,340
Svensktextning.nu
28 00:09:31,340 --> 00:09:32,760
Svensktextning.nu
29 00:09:32,760 --> 00:09:41,860
Svensktextning.nu
30 00:09:49,100 --> 00:09:59,740
Svensktextning.nu
31 00:09:59,740 --> 00:09:59,780
Svensktextning.nu
32 00:09:59,780 --> 00:09:59,820
Svensktextning.nu
33 00:09:59,820 --> 00:09:59,840
Svensktextning.nu
34 00:09:59,840 --> 00:10:03,020
Vi pratar alltså
35 00:10:03,020 --> 00:10:04,840
en Siemens S7
36 00:10:04,840 --> 00:10:07,220
315. Jag får läsa innantill
37 00:10:07,220 --> 00:10:08,980
här, men jag skulle ha rätt
38 00:10:08,980 --> 00:10:10,500
profibus-processor
39 00:10:10,500 --> 00:10:12,960
med rätt processor i det, vilka är
40 00:10:12,960 --> 00:10:15,060
unika då. Och då
41 00:10:15,060 --> 00:10:16,560
innebär det att de tillhör
42 00:10:16,560 --> 00:10:18,820
en specifik typ
43 00:10:18,820 --> 00:10:20,280
av frekvensomvandlare.
44 00:10:20,440 --> 00:10:22,700
Men detta måste ju…
45 00:10:22,700 --> 00:10:24,860
Jag hoppar in lite i förväg, för vad som är intressant
46 00:10:24,860 --> 00:10:27,140
också, det är att när den skapar
47 00:10:27,140 --> 00:10:29,000
förutsättningar så kopierar den ju in sig
48 00:10:29,000 --> 00:10:30,460
i respektive
49 00:10:30,460 --> 00:10:32,100
katalogstrukturer
50 00:10:32,100 --> 00:10:34,640
och packar om.
51 00:10:34,700 --> 00:10:35,780
Byter ut DLL-filer.
52 00:10:37,240 --> 00:10:38,700
Men det är coolare än så.
53 00:10:39,600 --> 00:10:41,020
Den kör sedan
54 00:10:41,020 --> 00:10:43,060
den nya DLL-en genom den gamla.
55 00:10:43,600 --> 00:10:44,780
Så den hookar bara på en ny
56 00:10:44,780 --> 00:10:46,920
funktionalitet. Så vad man har gjort är att
57 00:10:46,920 --> 00:10:48,740
man har tagit checksumman av
58 00:10:48,740 --> 00:10:50,640
standard-DLL-en, jämfört den
59 00:10:50,640 --> 00:10:53,140
med den nya DLL-en som den skapar.
60 00:10:53,840 --> 00:10:54,780
Sen skapar den
61 00:10:54,780 --> 00:10:56,600
en referens till
62 00:10:56,600 --> 00:10:58,980
original-DLL-en som den har bytt
63 00:10:59,000 --> 00:11:00,040
typ en bokstav i.
64 00:11:01,140 --> 00:11:02,840
Och kollar man checksumman mot den den har bytt
65 00:11:02,840 --> 00:11:04,720
bokstav i så är det den gamla då.
66 00:11:04,780 --> 00:11:06,340
Den går liksom igenom den.
67 00:11:07,160 --> 00:11:08,680
Så att de har liksom hookat på
68 00:11:08,680 --> 00:11:10,080
mer funktionalitet i detta.
69 00:11:10,800 --> 00:11:12,640
Och det betyder ju då egentligen
70 00:11:12,640 --> 00:11:14,720
att man kan köra programmet egentligen som vanligt.
71 00:11:15,140 --> 00:11:16,260
Och aldrig märka något.
72 00:11:16,360 --> 00:11:17,120
Och aldrig märka något.
73 00:11:18,020 --> 00:11:20,260
Och sen nu, när den har gjort det här så
74 00:11:20,260 --> 00:11:22,100
nu är ju vi embeddade i systemet.
75 00:11:22,140 --> 00:11:23,700
Och då kommer vi in på det här som Rickard säger.
76 00:11:23,820 --> 00:11:26,220
Att den har en så jävla explicit
77 00:11:26,220 --> 00:11:28,880
funktion.
78 00:11:29,000 --> 00:11:30,420
Vad säger man?
79 00:11:31,360 --> 00:11:31,800
Målsökningsrutin.
80 00:11:33,000 --> 00:11:34,680
Där det är serienummer.
81 00:11:35,480 --> 00:11:36,420
Och det ska fan väl vara
82 00:11:36,420 --> 00:11:38,580
perfekt. Och sen har den ju
83 00:11:38,580 --> 00:11:39,400
scenario då.
84 00:11:40,280 --> 00:11:41,820
Så som den förstör de här
85 00:11:41,820 --> 00:11:43,720
centrifugerna är det va?
86 00:11:44,060 --> 00:11:45,640
Dels så jobbar den då
87 00:11:45,640 --> 00:11:47,500
för att då
88 00:11:47,500 --> 00:11:50,480
sabba centrifugerna med
89 00:11:50,480 --> 00:11:52,820
frekvensen på, alltså rotationen på dem.
90 00:11:52,840 --> 00:11:53,900
Och då har man, då har det ju så här
91 00:11:53,900 --> 00:11:56,980
14 000 tvåvarv eller vad fan det nu är.
92 00:11:56,980 --> 00:11:58,940
Men då blir det rätt resonans.
93 00:11:59,000 --> 00:12:01,140
De börjar självsvänga
94 00:12:01,140 --> 00:12:01,800
så de går sönder.
95 00:12:01,940 --> 00:12:02,980
Precis, och då skär den.
96 00:12:04,020 --> 00:12:07,260
Så de sabbar liksom inte bara resultatet.
97 00:12:07,480 --> 00:12:07,880
Processen.
98 00:12:08,080 --> 00:12:11,320
De har ju byggt hur många centrifuger som helst.
99 00:12:11,420 --> 00:12:12,920
Det är den andra rutinen
100 00:12:12,920 --> 00:12:14,300
som du tänker. Alltså man ändrar
101 00:12:14,300 --> 00:12:17,100
styrventiler
102 00:12:17,100 --> 00:12:19,000
för att sabba processen.
103 00:12:20,140 --> 00:12:20,920
Jag trodde liksom att det var
104 00:12:20,920 --> 00:12:22,920
man märkte ingenting utan det var bara det
105 00:12:22,920 --> 00:12:24,080
att det blev inte det där.
106 00:12:24,840 --> 00:12:25,240
Anrikade.
107 00:12:25,240 --> 00:12:27,180
Nej precis, utan det blev skit av det istället.
108 00:12:27,440 --> 00:12:28,180
Ska man ta det här?
109 00:12:29,000 --> 00:12:31,700
På riktigt basal nivå så är det ju
110 00:12:31,700 --> 00:12:33,980
mer eller mindre ett antal stora
111 00:12:33,980 --> 00:12:35,960
torktumlar som står och skakar
112 00:12:35,960 --> 00:12:37,520
runt uran tills det blir
113 00:12:37,520 --> 00:12:40,300
mer och mer fint plutonium
114 00:12:40,300 --> 00:12:40,780
utav det.
115 00:12:42,000 --> 00:12:43,760
Och där i elmotorn
116 00:12:43,760 --> 00:12:45,680
som skakar runt uranet så börjar man
117 00:12:45,680 --> 00:12:47,560
plötsligt värnita
118 00:12:47,560 --> 00:12:49,360
och öka hastigheten lite
119 00:12:49,360 --> 00:12:50,260
slumpmässigt.
120 00:12:50,260 --> 00:12:51,960
Ska man självsväga den tills den
121 00:12:51,960 --> 00:12:53,040
skär?
122 00:12:53,040 --> 00:12:55,660
Du får en tvättmaskin som har fler
123 00:12:55,660 --> 00:12:56,580
fel frekvenser.
124 00:12:56,860 --> 00:12:58,920
Ja men det vet man väl hur en tvättmaskin
125 00:12:58,920 --> 00:13:00,760
låter när den har obalans i sig.
126 00:13:01,040 --> 00:13:02,980
Den vandrar ju omkring och hoppas.
127 00:13:03,240 --> 00:13:05,280
Jag har en tanke snarare.
128 00:13:06,220 --> 00:13:07,720
Det låter ju på det här som att man
129 00:13:07,720 --> 00:13:09,780
behöver oerhört mycket
130 00:13:09,780 --> 00:13:10,820
förkunskap och målet.
131 00:13:11,120 --> 00:13:13,100
Och det ska man också veta där, som jag glömde säga
132 00:13:13,100 --> 00:13:15,160
när vi pratade om DLL-erna. De här är alltså digitalt
133 00:13:15,160 --> 00:13:15,680
signade.
134 00:13:17,640 --> 00:13:18,360
Real Tech.
135 00:13:19,580 --> 00:13:21,180
De har alltså ett maskinsätt.
136 00:13:21,260 --> 00:13:23,100
De är stämplade, de här DLL-erna.
137 00:13:23,860 --> 00:13:25,180
Eller sysfiler tror jag det är.
138 00:13:25,180 --> 00:13:27,340
Men det är helt…
139 00:13:27,340 --> 00:13:28,880
Det är alltså någon jävel som har…
140 00:13:28,920 --> 00:13:30,780
lyckats signa det här.
141 00:13:31,300 --> 00:13:33,220
Vilket betyder på en enorm…
142 00:13:33,820 --> 00:13:35,660
Ja men de har ju haft koll på grejerna.
143 00:13:35,720 --> 00:13:37,300
De har ju haft en kille där liksom.
144 00:13:37,420 --> 00:13:39,240
Men är det Real Tech
145 00:13:39,240 --> 00:13:41,400
som har signat de originalfilen också?
146 00:13:41,920 --> 00:13:43,120
Eller har de bara snott
147 00:13:43,120 --> 00:13:44,160
en rot?
148 00:13:44,160 --> 00:13:46,340
På något sätt så har de ju fått
149 00:13:46,340 --> 00:13:49,420
filerna signerade med Real Techs
150 00:13:49,420 --> 00:13:51,060
driver-certifikat.
151 00:13:51,080 --> 00:13:53,340
Men inte filer som skulle varit signerade av Real Tech.
152 00:13:53,340 --> 00:13:55,300
För det är Siemens-programvara som är
153 00:13:55,300 --> 00:13:57,040
signerade av Real Tech.
154 00:13:57,140 --> 00:13:58,840
Så de har inte tagit…
155 00:13:58,920 --> 00:14:01,360
Real Tech-specifikt utan de har…
156 00:14:01,360 --> 00:14:01,840
Det här var Guy.
157 00:14:01,940 --> 00:14:04,660
Det här var Guy som sprang över ett schysst rotcert.
158 00:14:04,940 --> 00:14:05,760
Ja det finns alltså…
159 00:14:05,760 --> 00:14:08,660
Det finns ju bara en del av Stuxnet tror jag
160 00:14:08,660 --> 00:14:10,400
som är signade med andra nycklar också.
161 00:14:10,400 --> 00:14:11,680
För de bytte ut det där.
162 00:14:11,740 --> 00:14:13,580
För jag tror att de blev väl påkomna med en
163 00:14:13,580 --> 00:14:15,080
och sen så tog det ett par dagar.
164 00:14:15,140 --> 00:14:17,020
Sen hade de en ny signad…
165 00:14:17,020 --> 00:14:18,880
Det är extremt vackert.
166 00:14:19,000 --> 00:14:20,260
Det som Johan var inne på här.
167 00:14:20,460 --> 00:14:23,260
Det är hela sammantaget.
168 00:14:23,400 --> 00:14:25,880
Bara droppen är ju en…
169 00:14:25,880 --> 00:14:26,840
Stroke of fucking genius.
170 00:14:26,900 --> 00:14:27,540
Ja det är genius.
171 00:14:27,800 --> 00:14:28,760
Och det har krävts…
172 00:14:28,760 --> 00:14:28,880
Det har krävts…
173 00:14:28,880 --> 00:14:30,500
Det har krävts väldigt, väldigt mycket kompetens.
174 00:14:30,600 --> 00:14:33,820
Framförallt extremt mycket intel om målet.
175 00:14:34,120 --> 00:14:36,760
Alltså hur har de byggt upp sin anrikningsanläggning?
176 00:14:37,280 --> 00:14:39,260
Vilka frekvensomvandlare använder de?
177 00:14:39,300 --> 00:14:40,200
Vilka kompetenser?
178 00:14:40,420 --> 00:14:41,280
Vilka serienummer?
179 00:14:41,920 --> 00:14:42,040
Ja.
180 00:14:42,040 --> 00:14:42,380
Anta jag.
181 00:14:42,840 --> 00:14:45,880
Ja alltså det misstänks att man använde…
182 00:14:46,600 --> 00:14:49,900
Det fanns en integratör för industriella kontrollsystem
183 00:14:49,900 --> 00:14:53,260
eller finns kanske kvar också i Iran som heter NADA.
184 00:14:53,740 --> 00:14:56,340
Att de har varit liksom det primära målet.
185 00:14:56,340 --> 00:14:58,720
För de visste att deras ingenjörer
186 00:14:58,720 --> 00:15:03,180
kommer att komma i kontakt med den här anrikningsanläggningen.
187 00:15:03,240 --> 00:15:04,540
Och så bara så att man förstår så här.
188 00:15:04,620 --> 00:15:07,040
Hur lång tid tror man, uppskattar man
189 00:15:07,040 --> 00:15:08,480
att de blev tillbakaställda?
190 00:15:08,940 --> 00:15:10,640
Ja men det är upp mot två år.
191 00:15:10,920 --> 00:15:11,460
Om de tappade.
192 00:15:11,520 --> 00:15:13,100
Tror man att man har förlejat, alltså delayat med
193 00:15:13,100 --> 00:15:13,960
de här strukturerna.
194 00:15:14,460 --> 00:15:15,720
Vad tänkte jag på de här ID-erna?
195 00:15:15,820 --> 00:15:17,440
Är de alltså unika för den här anläggningen?
196 00:15:17,560 --> 00:15:18,520
Så de finns inte någon annanstans?
197 00:15:18,580 --> 00:15:20,800
Nej det är alltså så pass specifikt.
198 00:15:20,920 --> 00:15:23,200
Och dessutom då så letar den alltså efter
199 00:15:23,200 --> 00:15:24,900
specifik typ av kod.
200 00:15:24,900 --> 00:15:27,020
Det vill säga att den måste ha minst…
201 00:15:27,020 --> 00:15:28,700
Även om den träffar de här serienummerna.
202 00:15:28,720 --> 00:15:31,580
Alltså måste den minst ha 33 frekvensomvandlare.
203 00:15:32,340 --> 00:15:34,380
Eller motsvarande då på den här
204 00:15:34,380 --> 00:15:37,340
417-modellen då.
205 00:15:37,960 --> 00:15:38,240
Av Sibeln.
206 00:15:38,320 --> 00:15:39,920
Så då letar den efter den som
207 00:15:39,920 --> 00:15:41,640
kontrollerar hela den här.
208 00:15:41,740 --> 00:15:43,600
Det vill säga sex kaskader av
209 00:15:43,600 --> 00:15:46,520
164 centrifuger.
210 00:15:46,660 --> 00:15:48,660
Så då hade de ett par olika ID-erna
211 00:15:48,660 --> 00:15:49,600
och letade efter att ha den.
212 00:15:49,880 --> 00:15:52,760
Så de visste kanske inte exakt var vilken användes.
213 00:15:53,240 --> 00:15:54,480
Och sen så är det så vackert
214 00:15:54,480 --> 00:15:56,760
att om den ena fallerar så ska den andra
215 00:15:56,760 --> 00:15:57,620
försöka sabba det.
216 00:15:57,620 --> 00:15:59,940
Så att de garanterar att de inte får fram
217 00:15:59,940 --> 00:16:01,480
anrikat…
218 00:16:01,480 --> 00:16:02,960
Det är till och med så här att om någon trycker på nödstopp
219 00:16:02,960 --> 00:16:04,660
så här, shit den brinner.
220 00:16:04,960 --> 00:16:07,860
Då trycker de på nödstopp, då återkopplar
221 00:16:07,860 --> 00:16:10,000
PLC-en till styrsystemet.
222 00:16:10,100 --> 00:16:11,260
Ja, jag har nödstoppat.
223 00:16:11,280 --> 00:16:13,420
Nu har jag stängt av, men fortsätter exekvera koden.
224 00:16:13,920 --> 00:16:16,360
Så det är alltså ett rotskitt i PLC-en.
225 00:16:16,420 --> 00:16:18,100
Och det är det som jag säger är så vackert.
226 00:16:18,280 --> 00:16:18,980
För att den alltså…
227 00:16:18,980 --> 00:16:22,020
Den återkopplar till HMI-systemet.
228 00:16:22,160 --> 00:16:24,320
Allting är grönt, allt funkar skitbra.
229 00:16:24,460 --> 00:16:25,300
Jag har mottagit en nödstopp.
230 00:16:25,300 --> 00:16:27,320
Medan den håller på att systematiskt
231 00:16:27,320 --> 00:16:28,020
förstör.
232 00:16:28,320 --> 00:16:31,080
I den här mjukvaran för
233 00:16:31,080 --> 00:16:33,320
S7-417 så hade den
234 00:16:33,320 --> 00:16:35,060
alltså en spela-in-rutin.
235 00:16:35,140 --> 00:16:37,200
Där den spelade in när allting var fine and dandy.
236 00:16:37,440 --> 00:16:39,180
Och sen så spelade den upp det medan den
237 00:16:39,180 --> 00:16:40,920
sabbade processen allt från orken.
238 00:16:41,580 --> 00:16:42,280
Vad tänkte jag på?
239 00:16:43,160 --> 00:16:45,620
Jag tyckte du sa i början att det var diskussioner
240 00:16:45,620 --> 00:16:47,360
kring vad som var målet. Det borde ju vara oerhört
241 00:16:47,360 --> 00:16:48,240
tydligt vad som är målet.
242 00:16:49,460 --> 00:16:49,980
Jo, precis.
243 00:16:50,860 --> 00:16:52,940
Man har funderat, det fanns väl två
244 00:16:53,500 --> 00:16:54,980
tänkbara mål, men båda var
245 00:16:54,980 --> 00:16:56,080
Iran och
246 00:16:56,080 --> 00:16:58,140
hade med kärnkraft att göra.
247 00:16:58,260 --> 00:16:59,980
Det kan man ju se på spridningsgraden.
248 00:17:00,080 --> 00:17:01,460
Man har gjort en sån här…
249 00:17:01,460 --> 00:17:03,960
Jag tänkte de här ID-erna, kan man bara ta reda på var de finns?
250 00:17:04,180 --> 00:17:05,100
Det var det man gjorde.
251 00:17:05,680 --> 00:17:08,140
När man reversade koden
252 00:17:08,140 --> 00:17:10,000
kom man fram till att här förekommer ID-en.
253 00:17:10,440 --> 00:17:12,340
Och de ID-erna visade sig vara sökbara.
254 00:17:12,600 --> 00:17:14,080
Och då kom man jävligt snabbt fram till att
255 00:17:14,080 --> 00:17:15,760
de här är…
256 00:17:15,760 --> 00:17:17,040
Det är Natanz som är målet.
257 00:17:17,300 --> 00:17:19,420
Om vi då lägger ihop det
258 00:17:19,420 --> 00:17:21,280
med en rätt cool
259 00:17:21,280 --> 00:17:22,520
smask.
260 00:17:22,880 --> 00:17:24,780
Med fyra zero days.
261 00:17:26,080 --> 00:17:28,300
Som har varit odetekterad
262 00:17:28,300 --> 00:17:30,520
under en lång period och spridit sig till stora
263 00:17:30,520 --> 00:17:32,880
mängder klienter.
264 00:17:33,860 --> 00:17:34,500
Det vill säga
265 00:17:34,500 --> 00:17:36,900
rätt duktiga virusskapare
266 00:17:36,900 --> 00:17:37,360
helt enkelt.
267 00:17:37,840 --> 00:17:40,440
Och så kombinerar vi det med extremt mycket kompetens
268 00:17:40,440 --> 00:17:42,700
kring en specifik kärnkraftsanläggning
269 00:17:42,700 --> 00:17:43,460
eller uran…
270 00:17:43,460 --> 00:17:45,960
Anrikningsanläggning.
271 00:17:48,720 --> 00:17:50,940
Finns det några…
272 00:17:50,940 --> 00:17:51,980
Vem har det som har gjort den här?
273 00:17:52,920 --> 00:17:53,740
Om vi säger
274 00:17:53,740 --> 00:17:55,960
the usual suspects då.
275 00:17:56,080 --> 00:17:58,500
Det är väl…
276 00:17:58,500 --> 00:18:00,400
Lagner hävdar ju
277 00:18:00,400 --> 00:18:02,080
att det här är amerikanskt.
278 00:18:02,880 --> 00:18:04,240
Alltså amerikanskt
279 00:18:04,240 --> 00:18:05,820
sponsrat av
280 00:18:05,820 --> 00:18:08,000
regeringen. Så NSA
281 00:18:08,000 --> 00:18:09,840
eller TAO
282 00:18:09,840 --> 00:18:10,840
eller något
283 00:18:10,840 --> 00:18:13,720
cyber warfare division.
284 00:18:13,740 --> 00:18:16,420
Man har hittat hebriska referenser
285 00:18:16,420 --> 00:18:18,400
i viss övervörsning.
286 00:18:18,420 --> 00:18:19,640
Det kan vara villospår.
287 00:18:19,840 --> 00:18:21,960
Ja, villospår eller en joint effort.
288 00:18:21,960 --> 00:18:23,440
Joint effort med Mossad.
289 00:18:23,440 --> 00:18:25,600
Och Israelen
290 00:18:25,600 --> 00:18:27,500
är väl det andra suspect som man skulle kunna ha.
291 00:18:27,580 --> 00:18:28,840
Men de skulle inte ha dem
292 00:18:28,840 --> 00:18:31,760
sitter här och säger hej Israel, hej Mossad.
293 00:18:32,340 --> 00:18:32,780
Men
294 00:18:32,780 --> 00:18:35,120
man spekulerar att de inte har
295 00:18:35,120 --> 00:18:37,880
de kapabiliteterna att skapa
296 00:18:37,880 --> 00:18:39,400
den här
297 00:18:39,400 --> 00:18:41,660
masken. Men man ska inte
298 00:18:41,660 --> 00:18:42,720
underskatta Israelen.
299 00:18:43,480 --> 00:18:45,600
Men det är ingen som officiellt gått ut och sagt att ja, det var vi.
300 00:18:45,600 --> 00:18:46,300
Vi gjorde det, nej.
301 00:18:46,560 --> 00:18:49,580
Det har ju förekommit uppgifter i amerikanska tidningar
302 00:18:49,580 --> 00:18:51,660
där de påstår att senior
303 00:18:51,660 --> 00:18:53,540
officials har
304 00:18:53,540 --> 00:18:55,520
medgett att
305 00:18:55,520 --> 00:18:58,660
det här skulle vara
306 00:18:58,660 --> 00:19:00,400
en operation som har gjorts i flera
307 00:19:00,400 --> 00:19:01,040
vändor.
308 00:19:02,140 --> 00:19:04,060
De första versionerna av Stuxnet
309 00:19:04,060 --> 00:19:05,780
planterades där av
310 00:19:05,780 --> 00:19:10,180
iranska agenter som jobbade för
311 00:19:10,180 --> 00:19:12,360
amerikanerna då.
312 00:19:13,360 --> 00:19:14,560
Och först körde
313 00:19:14,560 --> 00:19:16,380
flera vändor med mer och mer
314 00:19:16,380 --> 00:19:18,480
utforskning av nätet för att
315 00:19:18,480 --> 00:19:20,740
kunna krafta den här payloaden.
316 00:19:20,740 --> 00:19:22,320
Det låter ju rimligt också i och för sig.
317 00:19:22,760 --> 00:19:24,740
Och man påstår också att ett amerikanskt
318 00:19:25,520 --> 00:19:29,380
det är inte riktigt
319 00:19:29,380 --> 00:19:30,840
akademisk forskning, men något
320 00:19:30,840 --> 00:19:32,880
forskningsinstitut i USA
321 00:19:32,880 --> 00:19:34,700
påstås ju de avslöjande
322 00:19:34,700 --> 00:19:35,700
att de skulle
323 00:19:35,700 --> 00:19:38,820
helt enkelt ha tagit in flera
324 00:19:38,820 --> 00:19:40,820
sådana synens maskiner
325 00:19:40,820 --> 00:19:41,980
och helt enkelt gjort
326 00:19:41,980 --> 00:19:44,460
experiment för amerikanernas räkning.
327 00:19:44,540 --> 00:19:45,780
Hur gör man sönder dem?
328 00:19:46,480 --> 00:19:48,860
Bara detta att veta vid vilka
329 00:19:48,860 --> 00:19:51,180
frekvenser saboterar
330 00:19:51,180 --> 00:19:52,960
vi de här centrifugerna?
331 00:19:53,360 --> 00:19:54,620
Ja, och det är ju inte så att
332 00:19:54,620 --> 00:19:55,120
närmar jag det.
333 00:19:55,520 --> 00:20:03,600
Det är ju inte så att du går
334 00:20:03,600 --> 00:20:05,680
och läser manualen och så står det
335 00:20:05,680 --> 00:20:07,360
använd inte de här frekvenserna för då
336 00:20:07,360 --> 00:20:09,240
dör den, utan det här är ju
337 00:20:09,240 --> 00:20:11,260
någonting man experimenterar med.
338 00:20:11,580 --> 00:20:13,520
Var kommer namnet Stuxnet ifrån?
339 00:20:14,140 --> 00:20:14,880
Väldigt bra fråga.
340 00:20:15,080 --> 00:20:17,340
Ingen aning varför man
341 00:20:17,340 --> 00:20:18,580
döpte det till Stuxnet.
342 00:20:19,400 --> 00:20:21,360
Det är nog en referens till någonting
343 00:20:21,360 --> 00:20:23,660
i viruset
344 00:20:23,660 --> 00:20:24,320
skulle jag tro.
345 00:20:25,520 --> 00:20:28,520
Jag tror att det var Symantec
346 00:20:28,520 --> 00:20:30,140
som döpte den, eller döpte om den
347 00:20:30,140 --> 00:20:31,220
för den hette ju någonting annat
348 00:20:31,220 --> 00:20:32,720
först, men
349 00:20:32,720 --> 00:20:34,860
det var ju innan man hade sett
350 00:20:34,860 --> 00:20:37,440
hela innehållet.
351 00:20:38,080 --> 00:20:39,620
Men jag har faktiskt ingen aning.
352 00:20:39,760 --> 00:20:40,280
Det står så här.
353 00:20:40,680 --> 00:20:43,780
Its current name is derived from a combination of some keywords in the software.
354 00:20:44,440 --> 00:20:45,420
Nämligen .stub
355 00:20:45,420 --> 00:20:47,600
och mrxnet.sys
356 00:20:47,600 --> 00:20:49,220
Tydligen.
357 00:20:50,100 --> 00:20:50,540
Det ser man.
358 00:20:51,000 --> 00:20:52,260
Wikipedia vet allt.
359 00:20:52,260 --> 00:20:52,720
Så är det.
360 00:20:53,640 --> 00:20:54,240
Härligt.
361 00:20:55,520 --> 00:20:56,920
Ja, spännande.
362 00:20:57,020 --> 00:20:58,260
Men det här är väl kanske
363 00:20:58,260 --> 00:21:00,200
ett av de främsta, eller
364 00:21:00,200 --> 00:21:02,360
absolut ett av de främsta och ett av de första
365 00:21:02,360 --> 00:21:04,340
exempel på riktig cyberwarfare kan man väl säga.
366 00:21:05,220 --> 00:21:05,800
Ja, absolut.
367 00:21:05,800 --> 00:21:07,960
Nu hörde jag det. Du sa ordet.
368 00:21:08,060 --> 00:21:08,600
Jag sa cyber.
369 00:21:09,180 --> 00:21:09,940
Och igen.
370 00:21:11,100 --> 00:21:12,840
Men det sa du först, så jag kommer undra.
371 00:21:13,160 --> 00:21:14,460
Men jag…
372 00:21:14,460 --> 00:21:17,600
Jag hade för mig att det var någon senator
373 00:21:17,600 --> 00:21:19,620
eller någonting som ackade
374 00:21:19,620 --> 00:21:21,340
att någon av de här mälgårdarna
375 00:21:21,340 --> 00:21:22,560
sa att jo, det är vi.
376 00:21:23,180 --> 00:21:25,360
Jo, men det är…
377 00:21:25,520 --> 00:21:25,780
Ja.
378 00:21:26,680 --> 00:21:29,760
Man har väl typ gått ut, men inte officiellt.
379 00:21:29,820 --> 00:21:32,100
Men samtidigt har man sagt att de som har gått…
380 00:21:32,100 --> 00:21:34,180
De som har gått ut ska bli utredda.
381 00:21:34,380 --> 00:21:35,760
Vilket nästan också låter som
382 00:21:35,760 --> 00:21:36,620
något medgivande.
383 00:21:36,800 --> 00:21:38,820
Could probably maybe have been us.
384 00:21:40,500 --> 00:21:41,860
Alla kanske inte vet
385 00:21:41,860 --> 00:21:43,900
riktigt vad alla de olika händerna gör heller.
386 00:21:44,660 --> 00:21:45,480
Kan man tänka sig igen.
387 00:21:45,700 --> 00:21:47,740
Var det sanktionerat, eller var det bara
388 00:21:47,740 --> 00:21:50,360
någonting som skedde
389 00:21:50,360 --> 00:21:51,100
under radarn?
390 00:21:51,100 --> 00:21:52,720
Det finns ju någon ny…
391 00:21:52,720 --> 00:21:54,960
Alltså nu kommer jag inte ihåg ifall det var Washington Post
392 00:21:54,960 --> 00:21:56,140
eller vilken tidning det var.
393 00:21:56,520 --> 00:21:59,200
Det får vi ta och se om jag kan skriva upp
394 00:21:59,200 --> 00:22:01,200
referenser, men det är ju en tidning
395 00:22:01,200 --> 00:22:03,420
som påstår sig ha väldigt
396 00:22:03,420 --> 00:22:05,020
detaljerade intervjuer med
397 00:22:05,020 --> 00:22:07,300
de som har koll.
398 00:22:08,680 --> 00:22:11,320
Och där påstås det ju vara en väldigt sanktionerad
399 00:22:11,320 --> 00:22:13,160
väldigt väl planerad
400 00:22:13,160 --> 00:22:15,360
och väldigt, framförallt över lång tid
401 00:22:15,360 --> 00:22:16,360
genomförda aktion.
402 00:22:16,440 --> 00:22:17,420
Och dessutom framgångsrik.
403 00:22:18,520 --> 00:22:21,120
Hur ser tidslinjen ut? När byggdes det här?
404 00:22:21,200 --> 00:22:22,440
När deployades det? När upptäcktes det?
405 00:22:22,660 --> 00:22:24,800
Det har ju släppts i flera
406 00:22:24,800 --> 00:22:25,640
versioner då.
407 00:22:26,900 --> 00:22:28,600
Och de första
408 00:22:28,600 --> 00:22:30,300
är från
409 00:22:30,300 --> 00:22:32,900
mitten 2009, alltså juni
410 00:22:32,900 --> 00:22:34,160
2009 någonstans.
411 00:22:34,660 --> 00:22:36,400
Men då hade man inte de signade
412 00:22:36,400 --> 00:22:38,480
alltså, DLL-arna.
413 00:22:39,800 --> 00:22:41,160
De kom först i
414 00:22:41,160 --> 00:22:42,620
januari, februari
415 00:22:42,620 --> 00:22:44,820
2010. Och det upptäcktes
416 00:22:44,820 --> 00:22:46,940
väl någon gång sommaren
417 00:22:46,940 --> 00:22:47,700
2010.
418 00:22:48,120 --> 00:22:50,060
Så det var inte aktivt så länge då egentligen?
419 00:22:50,280 --> 00:22:53,040
Nej, det var det väl inte då.
420 00:22:53,400 --> 00:22:53,840
Men…
421 00:22:53,840 --> 00:22:55,480
Man vet ju i och för sig inte hur
422 00:22:55,480 --> 00:22:57,680
om de har liksom provat droppen
423 00:22:57,680 --> 00:22:58,480
eller provat någonting.
424 00:22:59,360 --> 00:23:00,580
Alltså för det är ju inte känt.
425 00:23:00,800 --> 00:23:02,840
Det har man ju inte snappat upp vad jag vet.
426 00:23:02,860 --> 00:23:05,740
Men det är i alla fall de belägg som finns i tidslinjen
427 00:23:05,740 --> 00:23:07,240
om man ska tro semantik då.
428 00:23:07,780 --> 00:23:09,880
Alltså de ensta kända
429 00:23:09,880 --> 00:23:11,140
exemplen är ju
430 00:23:11,140 --> 00:23:13,200
de som har hittats av
431 00:23:13,200 --> 00:23:15,660
något antivirusprogram som har
432 00:23:15,660 --> 00:23:16,740
rapporterat tillbaka.
433 00:23:18,420 --> 00:23:19,060
Så att
434 00:23:19,060 --> 00:23:21,980
det kan ju
435 00:23:21,980 --> 00:23:23,740
ha varit saker inne på
436 00:23:23,840 --> 00:23:25,920
liksom det område
437 00:23:25,920 --> 00:23:27,400
där viruset skulle vara.
438 00:23:27,720 --> 00:23:29,780
Det kan ju ha varit aktivt innan det har funnits
439 00:23:29,780 --> 00:23:31,160
någonting som har rapporterat in det.
440 00:23:31,620 --> 00:23:33,660
Dels det och sen så i och med att den har en
441 00:23:33,660 --> 00:23:35,940
self-destruct-rutin så kan
442 00:23:35,940 --> 00:23:36,740
det ju ha funnits
443 00:23:36,740 --> 00:23:40,020
varianter av det som går tillbaks
444 00:23:40,020 --> 00:23:40,680
längre än så.
445 00:23:42,480 --> 00:23:43,840
Det var ju omdiskuterat också
446 00:23:43,840 --> 00:23:44,800
varför
447 00:23:44,800 --> 00:23:46,960
varför Stuxnet
448 00:23:46,960 --> 00:23:49,820
kommer att sprida sig
449 00:23:49,820 --> 00:23:51,620
ute på internet.
450 00:23:52,480 --> 00:23:53,640
För att det är liksom
451 00:23:53,840 --> 00:23:56,580
viruset vill ju uppenbarligen
452 00:23:56,580 --> 00:23:59,540
vill ju sprida sig inne på de här
453 00:23:59,540 --> 00:24:01,420
alltså säkra
454 00:24:01,420 --> 00:24:03,380
näten. Det är väl också
455 00:24:03,380 --> 00:24:04,100
att om
456 00:24:04,100 --> 00:24:07,360
någon rör sig med en laptop från ett
457 00:24:07,360 --> 00:24:09,800
säkert nätverk till ett annat säkert nätverk
458 00:24:09,800 --> 00:24:11,360
ska det infektera det nya
459 00:24:11,360 --> 00:24:12,820
nätverket. För det är så som
460 00:24:12,820 --> 00:24:15,300
det ska kunna röra sig mycket mer än
461 00:24:15,300 --> 00:24:17,480
de agenterna som har kommit in med USB-stickor
462 00:24:17,480 --> 00:24:17,720
kan.
463 00:24:19,540 --> 00:24:19,880
Men
464 00:24:19,880 --> 00:24:23,460
om det var avsiktligt eller
465 00:24:23,840 --> 00:24:25,580
någonting gick fel som orsakar att
466 00:24:25,580 --> 00:24:28,280
Stuxnet började sprida sig ute bland allmänheten.
467 00:24:29,460 --> 00:24:30,660
Det är ju lite oklart.
468 00:24:31,380 --> 00:24:32,920
Man vet väl att någon av de tidigaste
469 00:24:32,920 --> 00:24:35,320
var ju typ någon kärnkraftstekniker
470 00:24:35,320 --> 00:24:37,620
eller någonting som pratade om det i något forum
471 00:24:37,620 --> 00:24:39,240
att hans PC hade problem och sådär.
472 00:24:39,820 --> 00:24:41,400
Men det här var ju ett virus
473 00:24:41,400 --> 00:24:43,160
som faktiskt började traska runt på internet
474 00:24:43,160 --> 00:24:45,180
och flera personer fick ju
475 00:24:45,180 --> 00:24:46,660
tal på samples till det liksom.
476 00:24:46,900 --> 00:24:49,660
Så det blev mycket mer publikt
477 00:24:49,660 --> 00:24:50,560
än vad man hade tänkt sig.
478 00:24:50,560 --> 00:24:51,760
Det var nog inte tänkt då.
479 00:24:52,180 --> 00:24:52,640
Men det är också
480 00:24:52,640 --> 00:24:52,760
det.
481 00:24:53,840 --> 00:24:56,920
Det känns som att droppen är lite
482 00:24:56,920 --> 00:24:58,640
i och med att den är mer
483 00:24:58,640 --> 00:24:59,780
urskiljningslös
484 00:24:59,780 --> 00:25:02,860
och inte lika målriktad utan
485 00:25:02,860 --> 00:25:05,740
letar helt enkelt
486 00:25:05,740 --> 00:25:07,480
efter bara nya mål
487 00:25:07,480 --> 00:25:08,100
och infektera.
488 00:25:09,160 --> 00:25:11,320
Så kan det ju varit någonting som Mixnet är
489 00:25:11,320 --> 00:25:13,660
och att den spred sig mer än de hade tänkt.
490 00:25:15,140 --> 00:25:17,020
Vad var funktionen för
491 00:25:17,020 --> 00:25:18,620
command and control-serverna?
492 00:25:19,460 --> 00:25:21,060
Var det bara att uppdatera nya versioner?
493 00:25:21,060 --> 00:25:22,980
Ja, i stort sett
494 00:25:22,980 --> 00:25:23,420
tror jag.
495 00:25:23,840 --> 00:25:26,520
Jag är osäker på om den hade
496 00:25:26,520 --> 00:25:29,020
någon update-funktion
497 00:25:29,020 --> 00:25:30,600
eller om det bara var P2P.
498 00:25:30,600 --> 00:25:32,600
Jag för mig att det var även
499 00:25:32,600 --> 00:25:34,600
alltså uppdaterings…
500 00:25:34,600 --> 00:25:36,600
Den kunde ta nya…
501 00:25:36,600 --> 00:25:37,600
Ny kod helt enkelt.
502 00:25:37,600 --> 00:25:39,600
Jag tänker att man har sett på viruset också
503 00:25:39,600 --> 00:25:43,280
komma i kontakt med omvärlden
504 00:25:43,280 --> 00:25:46,200
när någon virus som hade satt på kunskap
505 00:25:46,200 --> 00:25:48,200
om vad man hade gjort hittills
506 00:25:49,100 --> 00:25:51,100
blev inkopplad någonstans ute på internet
507 00:25:51,100 --> 00:25:53,100
så skulle den kunna liksom ringa hem och
508 00:25:53,840 --> 00:25:55,840
berätta om hur var statusen och så.
509 00:25:55,840 --> 00:25:56,840
Mm.
510 00:25:56,840 --> 00:25:58,840
Mm.
511 00:25:58,840 --> 00:25:59,840
Och command and control-serverna,
512 00:25:59,840 --> 00:26:00,840
vad vet vi om dem?
513 00:26:00,840 --> 00:26:02,840
Hackade maskiner?
514 00:26:02,840 --> 00:26:04,840
Väldigt lite faktiskt.
515 00:26:04,840 --> 00:26:06,840
Jag har inte läst så mycket om det.
516 00:26:06,840 --> 00:26:08,840
Jesper, vet du något?
517 00:26:08,840 --> 00:26:09,840
Peter?
518 00:26:09,840 --> 00:26:11,840
Nej, faktiskt inte.
519 00:26:11,840 --> 00:26:13,840
Jag tror att command and control-serverna
520 00:26:13,840 --> 00:26:15,840
är väl spårade, men
521 00:26:15,840 --> 00:26:17,840
det är lite som du säger, det är ju ingen…
522 00:26:17,840 --> 00:26:19,840
Det visar inget kontraste
523 00:26:19,840 --> 00:26:21,840
eller någonting, alltså såhär.
524 00:26:21,840 --> 00:26:23,840
Det var ju inte så att det var…
525 00:26:23,840 --> 00:26:25,840
länglig eller…
526 00:26:25,840 --> 00:26:27,840
Det var inte det.
527 00:26:27,840 --> 00:26:29,840
Men du sa gov, menar jag såklart.
528 00:26:29,840 --> 00:26:30,840
Det var nog…
529 00:26:30,840 --> 00:26:31,840
Hade varit smidigt.
530 00:26:31,840 --> 00:26:32,840
Dead end.
531 00:26:32,840 --> 00:26:34,840
Bortmed.
532 00:26:34,840 --> 00:26:36,840
Nej, så det var nog ganska…
533 00:26:36,840 --> 00:26:38,840
ganska dead end.
534 00:26:38,840 --> 00:26:39,840
Men det är ju fantastiskt.
535 00:26:39,840 --> 00:26:43,840
Det finns ju massa roligt att läsa om det här
536 00:26:43,840 --> 00:26:46,840
och verkligen kan definitivt rekommendera den här
537 00:26:46,840 --> 00:26:48,840
YouTube-länken, den här tekniken som
538 00:26:48,840 --> 00:26:49,840
kör en helt genomgång.
539 00:26:49,840 --> 00:26:52,840
Den visar alltifrån att hur själva…
540 00:26:52,840 --> 00:26:55,840
infekteringen sker egentligen
541 00:26:55,840 --> 00:26:57,840
och vad som händer med
542 00:26:57,840 --> 00:26:59,840
den hosten som blir infekterad
543 00:26:59,840 --> 00:27:01,840
och visar hur den byter ut filer
544 00:27:01,840 --> 00:27:03,840
och vad den skapar för förutsättningar
545 00:27:03,840 --> 00:27:05,840
för sig själv och sen även
546 00:27:05,840 --> 00:27:07,840
steppar han igenom hur den påverkar då
547 00:27:07,840 --> 00:27:09,840
själva programmeringsprocessen.
548 00:27:09,840 --> 00:27:11,840
Väldigt intressant att se och det blir väldigt såhär…
549 00:27:11,840 --> 00:27:13,840
Om man läste rapporten innan så kan man verkligen
550 00:27:13,840 --> 00:27:15,840
inte godgöra sig den här demot
551 00:27:15,840 --> 00:27:16,840
för det är…
552 00:27:16,840 --> 00:27:17,840
Det är vackert.
553 00:27:17,840 --> 00:27:18,840
Det är riktigt vackert.
554 00:27:18,840 --> 00:27:20,840
Man kan inte låta bli att imponeras av det.
555 00:27:20,840 --> 00:27:21,840
Ja, jag är sjukt imponerad.
556 00:27:21,840 --> 00:27:23,840
Sen vet jag också det att det finns ju några…
557 00:27:23,840 --> 00:27:25,840
De är väl en minoritet
558 00:27:25,840 --> 00:27:27,840
men det finns ju ett par artiklar som
559 00:27:27,840 --> 00:27:29,840
ifrågasätter hur effektivt
560 00:27:29,840 --> 00:27:31,840
Stuxnet verkligen var
561 00:27:31,840 --> 00:27:33,840
dels till hur mycket
562 00:27:33,840 --> 00:27:35,840
förödelse orsakade verkligen
563 00:27:35,840 --> 00:27:37,840
den här koden
564 00:27:37,840 --> 00:27:39,840
och dels vilken politisk effekt
565 00:27:39,840 --> 00:27:41,840
hade den liksom, stödde den
566 00:27:41,840 --> 00:27:43,840
målen man hade och sen
567 00:27:43,840 --> 00:27:45,840
dessutom när man mäter effekt
568 00:27:45,840 --> 00:27:47,840
hur mycket orsakar den här
569 00:27:47,840 --> 00:27:49,840
så ska vi åtanke
570 00:27:49,840 --> 00:27:51,840
att…
571 00:27:51,840 --> 00:27:53,840
Forskare blev ihjälskjutna
572 00:27:53,840 --> 00:27:55,840
transporter exploderade
573 00:27:55,840 --> 00:27:57,840
det var allmänt…
574 00:27:57,840 --> 00:27:59,840
Det var väldigt dåligt
575 00:27:59,840 --> 00:28:01,840
att vara kärnkraftforskare
576 00:28:01,840 --> 00:28:03,840
i Iran under den här tiden
577 00:28:03,840 --> 00:28:05,840
för att…
578 00:28:05,840 --> 00:28:07,840
Men var det inte så att det dog
579 00:28:07,840 --> 00:28:09,840
folk lite till höger och vänster
580 00:28:09,840 --> 00:28:11,840
som var inblandade?
581 00:28:11,840 --> 00:28:13,840
Nej, men alltså flygplan på väg till den här
582 00:28:13,840 --> 00:28:15,840
basen, de bara exploderade ute i luften
583 00:28:15,840 --> 00:28:17,840
liksom helt plötsligt så bara…
584 00:28:17,840 --> 00:28:19,840
Bam! Råkade det explodera lite C4-späng
585 00:28:19,840 --> 00:28:21,840
ombord på dem och…
586 00:28:21,840 --> 00:28:23,840
Det var väl någon som blev påkörd också väldigt lägligt?
587 00:28:23,840 --> 00:28:25,840
Ja, och helt plötsligt
588 00:28:25,840 --> 00:28:27,840
in i den här jättelilla
589 00:28:27,840 --> 00:28:29,840
småstaden som ligger utanför
590 00:28:29,840 --> 00:28:31,840
så kommer det upp motorcykel
591 00:28:31,840 --> 00:28:33,840
och skjuter ihjäl
592 00:28:33,840 --> 00:28:35,840
en hel familj och sen bara drar vidare
593 00:28:35,840 --> 00:28:37,840
liksom så att…
594 00:28:37,840 --> 00:28:39,840
Fan, det låter ju lite government-understött
595 00:28:39,840 --> 00:28:41,840
där får man ändå säga
596 00:28:41,840 --> 00:28:43,840
Man är väldigt mycket
597 00:28:43,840 --> 00:28:45,840
otur just där
598 00:28:45,840 --> 00:28:47,840
Man kan säga att amerikanerna kanske har viss sån här
599 00:28:47,840 --> 00:28:49,840
såhär, oj vilka risker vågar
600 00:28:49,840 --> 00:28:51,840
vi ta? Men det finns
601 00:28:51,840 --> 00:28:53,840
en annan operatör i de trakterna som inte
602 00:28:53,840 --> 00:28:55,840
har samma begränsningar
603 00:28:57,840 --> 00:28:59,840
Ja, intressant! Spännande!
604 00:28:59,840 --> 00:29:01,840
Hej igen Mossad!
605 00:29:01,840 --> 00:29:03,840
Vi vill ju inget illa
606 00:29:03,840 --> 00:29:05,840
Ja, vad…
607 00:29:05,840 --> 00:29:07,840
Stuxnet har ju väl
608 00:29:07,840 --> 00:29:09,840
utvecklats, eller i alla fall
609 00:29:09,840 --> 00:29:11,840
delar av det
610 00:29:11,840 --> 00:29:13,840
Det kan man säga, det finns ju ett annat malware
611 00:29:13,840 --> 00:29:15,840
som kom
612 00:29:15,840 --> 00:29:17,840
upptäcktes drygt ett år
613 00:29:17,840 --> 00:29:19,840
efter Stuxnet
614 00:29:19,840 --> 00:29:21,840
som har vissa likheter
615 00:29:21,840 --> 00:29:23,840
ganska stora likheter till och med
616 00:29:23,840 --> 00:29:25,840
med hur Stuxnet är utformat
617 00:29:25,840 --> 00:29:27,840
så man misstänker att det
618 00:29:27,840 --> 00:29:29,840
kan vara så att det är byggt av samma gubbar
619 00:29:29,840 --> 00:29:31,840
eller åtminstone att man har delat
620 00:29:31,840 --> 00:29:33,840
en viss information emellan sig
621 00:29:33,840 --> 00:29:35,840
och pratar om Dooku
622 00:29:35,840 --> 00:29:37,840
vilket jag gillar
623 00:29:37,840 --> 00:29:39,840
eftersom att det påminner om Count Dooku
624 00:29:39,840 --> 00:29:41,840
Jag läste någonstans att det är därifrån
625 00:29:41,840 --> 00:29:43,840
ordet kommer, namnet kommer
626 00:29:43,840 --> 00:29:45,840
Stämmer faktiskt inte riktigt
627 00:29:45,840 --> 00:29:47,840
Namnet kommer från
628 00:29:47,840 --> 00:29:49,840
ett prefix som sattes på filer
629 00:29:49,840 --> 00:29:51,840
som skapades av det här malwaret
630 00:29:51,840 --> 00:29:53,840
som var Tildedq
631 00:29:53,840 --> 00:29:55,840
Men jag tror
632 00:29:55,840 --> 00:29:57,840
det var dessutom så att de gillade det
633 00:29:57,840 --> 00:29:59,840
och att Count Dooku var väl typ
634 00:29:59,840 --> 00:30:01,840
bov nummer två och det här var då
635 00:30:01,840 --> 00:30:03,840
malware nummer två
636 00:30:03,840 --> 00:30:05,840
Det är liksom praktiskt, det funkar bra
637 00:30:05,840 --> 00:30:07,840
Ja, jag gillar det, det ligger rätt i munnen
638 00:30:07,840 --> 00:30:09,840
Det är
639 00:30:09,840 --> 00:30:11,840
egentligen en samling malware
640 00:30:11,840 --> 00:30:13,840
kan man väl säga
641 00:30:13,840 --> 00:30:15,840
Det finns tio versioner vad man vet
642 00:30:15,840 --> 00:30:19,840
I the wild, så att säga
643 00:30:19,840 --> 00:30:21,840
av Dooku
644 00:30:21,840 --> 00:30:23,840
Och det är värt att läsa
645 00:30:23,840 --> 00:30:25,840
Jag har baserat ganska mycket av min research
646 00:30:25,840 --> 00:30:27,840
på en artikelserie som publiceras av
647 00:30:27,840 --> 00:30:29,840
Kaspersky som heter
648 00:30:29,840 --> 00:30:31,840
The mystery of Dooku
649 00:30:31,840 --> 00:30:33,840
Det finns i tio delar
650 00:30:33,840 --> 00:30:35,840
som ju då är skrivna under
651 00:30:35,840 --> 00:30:37,840
tiden de höll på att undersöka det här
652 00:30:37,840 --> 00:30:39,840
Och det är inte LucasArts som har gjort den här?
653 00:30:39,840 --> 00:30:41,840
Nej, det är inte fanfiction
654 00:30:41,840 --> 00:30:43,840
Även om man skulle kunna tro det
655 00:30:43,840 --> 00:30:45,840
så är det nästan lika
656 00:30:45,840 --> 00:30:47,840
Lika mycket som en film
657 00:30:47,840 --> 00:30:49,840
som Stuxnet
658 00:30:51,840 --> 00:30:53,840
Jag gillar framförallt hur det här
659 00:30:53,840 --> 00:30:55,840
spred sig, det var
660 00:30:55,840 --> 00:30:57,840
Vet man vad målet var då?
661 00:30:57,840 --> 00:30:59,840
Intelligence bara
662 00:30:59,840 --> 00:31:01,840
Ungefär, det var inte riktigt lika tydligt
663 00:31:01,840 --> 00:31:03,840
som i Stuxnet
664 00:31:03,840 --> 00:31:05,840
I Stuxnet visste man ju ganska exakt vad
665 00:31:05,840 --> 00:31:07,840
vart det riktades
666 00:31:07,840 --> 00:31:09,840
och vart det skulle göra när det kom dit
667 00:31:09,840 --> 00:31:11,840
Dooku däremot
668 00:31:11,840 --> 00:31:13,840
är lite bredare
669 00:31:13,840 --> 00:31:15,840
till exempel inte för avsikt att göra någon
670 00:31:15,840 --> 00:31:17,840
större skada på maskinerna som infekterar
671 00:31:17,840 --> 00:31:19,840
Det har capabilities att verkligen
672 00:31:19,840 --> 00:31:21,840
blåsa hela maskinen
673 00:31:21,840 --> 00:31:23,840
men har bara gjort det i några enstaka fall
674 00:31:23,840 --> 00:31:25,840
vad man har kunnat se
675 00:31:25,840 --> 00:31:27,840
Väldigt modulärt byggt va?
676 00:31:27,840 --> 00:31:29,840
Japp, det stämmer
677 00:31:29,840 --> 00:31:31,840
För det mesta så var tanken
678 00:31:31,840 --> 00:31:33,840
med att man skulle stjäla information
679 00:31:33,840 --> 00:31:35,840
Så bland det första som sker när du blir
680 00:31:35,840 --> 00:31:37,840
infekterad med det här är att den tar screenshots
681 00:31:37,840 --> 00:31:39,840
dels på hela fönstret och dels på det aktiva
682 00:31:39,840 --> 00:31:41,840
fönstret och skickar iväg det någonstans
683 00:31:41,840 --> 00:31:43,840
Och sen så har den en annan
684 00:31:43,840 --> 00:31:45,840
komponent som är mer eller mindre en keylogger
685 00:31:45,840 --> 00:31:47,840
som sätter sig
686 00:31:47,840 --> 00:31:49,840
och börjar spela in lösenord
687 00:31:49,840 --> 00:31:51,840
Någon annan komponent
688 00:31:51,840 --> 00:31:53,840
som kallas för Infostealer
689 00:31:53,840 --> 00:31:55,840
som går igenom och skrapar efter lösenord
690 00:31:55,840 --> 00:31:57,840
som finns i minnet och på burken
691 00:31:57,840 --> 00:31:59,840
och skickar hem det
692 00:31:59,840 --> 00:32:01,840
Vad man har kunnat se av
693 00:32:01,840 --> 00:32:03,840
infekteringsmönstret
694 00:32:03,840 --> 00:32:05,840
så verkar det vara företag som
695 00:32:05,840 --> 00:32:07,840
arbetar med att ta fram
696 00:32:07,840 --> 00:32:09,840
industriella syrsystem
697 00:32:09,840 --> 00:32:11,840
Vi ser pattern
698 00:32:11,840 --> 00:32:13,840
och
699 00:32:13,840 --> 00:32:15,840
företag som arbetar med att ge ut
700 00:32:15,840 --> 00:32:17,840
Z
701 00:32:17,840 --> 00:32:19,840
Men vad är relationen
702 00:32:19,840 --> 00:32:21,840
här till Stuxnet?
703 00:32:21,840 --> 00:32:23,840
Är det en vidareutveckling för Stuxnet?
704 00:32:23,840 --> 00:32:25,840
De har vissa likheter
705 00:32:25,840 --> 00:32:27,840
Det finns likheter i koden
706 00:32:27,840 --> 00:32:29,840
Precis, alltså den kernel driver som
707 00:32:29,840 --> 00:32:31,840
utnyttjades av Ducu
708 00:32:31,840 --> 00:32:33,840
är väldigt lik den som utnyttjades av Stuxnet
709 00:32:33,840 --> 00:32:35,840
Till och med så pass lik
710 00:32:35,840 --> 00:32:37,840
att när F-Secure som gjorde en analys
711 00:32:37,840 --> 00:32:39,840
av Ducu först satt och kollade på det
712 00:32:39,840 --> 00:32:41,840
så trodde de att det var Stuxnet de tittade på
713 00:32:41,840 --> 00:32:43,840
för att det var mer eller mindre identiskt
714 00:32:43,840 --> 00:32:45,840
i stora delar av koden
715 00:32:45,840 --> 00:32:47,840
För de tror egentligen att det är samma kodbas
716 00:32:47,840 --> 00:32:49,840
i botten och så är det här en
717 00:32:49,840 --> 00:32:51,840
en branch egentligen då
718 00:32:51,840 --> 00:32:53,840
Också det faktum att den körde med
719 00:32:53,840 --> 00:32:55,840
signerade drivare
720 00:32:55,840 --> 00:32:57,840
med stulna certifikat
721 00:32:57,840 --> 00:32:59,840
I det här fallet var det från ett taiwanesiskt bolag
722 00:33:01,840 --> 00:33:03,840
Det var en annan likhet som gjorde att man
723 00:33:03,840 --> 00:33:05,840
tycker att det
724 00:33:05,840 --> 00:33:07,840
förmodligen kom från samma gubbar
725 00:33:07,840 --> 00:33:09,840
Det är väl många taiwanesiska bolag
726 00:33:09,840 --> 00:33:11,840
som har blivit av med sina cert?
727 00:33:11,840 --> 00:33:13,840
Det verkar vara dem man ska hacka
728 00:33:13,840 --> 00:33:15,840
Men det är Q-micron och
729 00:33:15,840 --> 00:33:17,840
är det Zenet eller någon
730 00:33:17,840 --> 00:33:19,840
av de där heter
731 00:33:19,840 --> 00:33:21,840
Som alla tre har använts i
732 00:33:21,840 --> 00:33:23,840
den här sfären av malware
733 00:33:23,840 --> 00:33:25,840
Alla tre är sådana som
734 00:33:25,840 --> 00:33:27,840
sitter i Taiwan och mass-
735 00:33:27,840 --> 00:33:29,840
tillverkar hårdvara
736 00:33:29,840 --> 00:33:31,840
Jag tänker på
737 00:33:31,840 --> 00:33:33,840
Det skedde ju ett par
738 00:33:33,840 --> 00:33:35,840
ganska så publika
739 00:33:35,840 --> 00:33:37,840
övertag av
740 00:33:37,840 --> 00:33:39,840
certifikatsutfärdare
741 00:33:39,840 --> 00:33:41,840
Mm
742 00:33:41,840 --> 00:33:43,840
Har man sett
743 00:33:43,840 --> 00:33:45,840
bara en öppen fråga
744 00:33:45,840 --> 00:33:47,840
Är det någon som sett något som bli signat av
745 00:33:47,840 --> 00:33:49,840
de root-certen som blev kompromitterade
746 00:33:49,840 --> 00:33:51,840
Nej
747 00:33:51,840 --> 00:33:53,840
Något som är roligt
748 00:33:53,840 --> 00:33:55,840
på Windows-systemet däremot
749 00:33:55,840 --> 00:33:57,840
det är ju att slå upp sin
750 00:33:57,840 --> 00:33:59,840
certifikathanterare och titta på
751 00:33:59,840 --> 00:34:01,840
revocation-listan där
752 00:34:01,840 --> 00:34:03,840
Där har ju faktiskt Microsoft
753 00:34:03,840 --> 00:34:05,840
revokerat cert som
754 00:34:05,840 --> 00:34:07,840
är utställda av Microsoft
755 00:34:07,840 --> 00:34:09,840
fast det inte är Microsoft
756 00:34:09,840 --> 00:34:11,840
Mm mm mm mm mm
757 00:34:11,840 --> 00:34:13,580
TurkTrust och ChinaPost.
758 00:34:13,580 --> 00:34:16,080
Det är inte på revokeringslistan
759 00:34:16,080 --> 00:34:18,260
men om du tittar på den listan du litar på
760 00:34:18,260 --> 00:34:19,520
så blir man ännu mer mörk i den.
761 00:34:20,020 --> 00:34:21,840
Jag litar på ChinaPost, vänta nu.
762 00:34:21,840 --> 00:34:23,580
Där ligger TurkTrust.
763 00:34:24,100 --> 00:34:24,940
TurkTrust, ja.
764 00:34:25,200 --> 00:34:27,280
Men du kan även kolla på…
765 00:34:27,280 --> 00:34:29,500
Var det inte TurkTrust som råkade göra en man in the middle
766 00:34:29,500 --> 00:34:31,100
på hela Turkiet? Eller var det några andra?
767 00:34:31,600 --> 00:34:33,500
Nej, inte hela Turkiet
768 00:34:33,500 --> 00:34:34,860
men på
769 00:34:34,860 --> 00:34:38,140
anställda i
770 00:34:38,140 --> 00:34:39,860
vissa myndigheter i Turkiet
771 00:34:39,860 --> 00:34:41,560
blir man ännu mer middelade
772 00:34:41,560 --> 00:34:42,520
av misstag.
773 00:34:44,400 --> 00:34:45,480
Eller var det?
774 00:34:45,940 --> 00:34:47,180
Hur såg spridningen ut här?
775 00:34:47,720 --> 00:34:50,020
Den initiala spridningen var väldigt riktad.
776 00:34:50,920 --> 00:34:52,600
Det var nämligen så att
777 00:34:52,600 --> 00:34:54,200
man skickade mejl
778 00:34:54,200 --> 00:34:56,020
till personer
779 00:34:56,020 --> 00:34:56,880
man ville infektera.
780 00:34:58,440 --> 00:35:00,240
Och de här mejlen innehöll ett Word-dokument.
781 00:35:01,680 --> 00:35:02,020
Och sen så
782 00:35:02,020 --> 00:35:03,540
utnyttjade man en zero-day
783 00:35:03,540 --> 00:35:05,860
i en parser
784 00:35:05,860 --> 00:35:07,320
för TrueType-font
785 00:35:07,320 --> 00:35:08,860
i Microsoft Word.
786 00:35:09,860 --> 00:35:11,360
Så man
787 00:35:11,360 --> 00:35:13,180
genom en zero-day
788 00:35:13,180 --> 00:35:15,160
kan få Remote Code Execution
789 00:35:15,160 --> 00:35:16,480
genom en Buffer Overflow
790 00:35:16,480 --> 00:35:18,560
i det programmet.
791 00:35:19,260 --> 00:35:21,140
Det funkar nämligen så att man skapar sig
792 00:35:21,140 --> 00:35:23,680
en egen font.
793 00:35:24,900 --> 00:35:25,860
En TTF-font.
794 00:35:26,680 --> 00:35:27,840
Och sen så lägger man in den
795 00:35:27,840 --> 00:35:28,540
i Word-filen.
796 00:35:29,340 --> 00:35:31,120
Du kommer inte märka det att den finns där.
797 00:35:31,300 --> 00:35:32,340
Men Word kommer se den och säga
798 00:35:32,340 --> 00:35:33,760
det här måste vi köra.
799 00:35:33,760 --> 00:35:35,120
För att det här ligger en font.
800 00:35:35,940 --> 00:35:37,720
Och helt plötsligt så har du ägt maskinen.
801 00:35:37,740 --> 00:35:39,140
Jag vill att du ska se den här fonten.
802 00:35:39,360 --> 00:35:39,600
För att kunna…
803 00:35:39,600 --> 00:35:41,720
Det är lite roligt då, vad den här fonten hette.
804 00:35:42,660 --> 00:35:44,020
Det är nämligen så att den hette…
805 00:35:44,020 --> 00:35:45,280
Jag ska läsa in den till dig.
806 00:35:45,400 --> 00:35:46,760
Jo, den heter Dexter Regular.
807 00:35:47,440 --> 00:35:50,180
Och hade som utgivare i metadata Showtime Inc.
808 00:35:51,940 --> 00:35:53,960
Så man kan tänka sig att de som skrev det här
809 00:35:53,960 --> 00:35:56,380
gillade serien Dexter.
810 00:35:57,700 --> 00:35:58,060
Showtime.
811 00:35:58,200 --> 00:35:59,100
Var det en referens där också?
812 00:35:59,200 --> 00:36:00,500
Showtime är de som…
813 00:36:00,500 --> 00:36:03,660
Ah, de som gör Dexter.
814 00:36:03,660 --> 00:36:04,080
Det är för dåligt.
815 00:36:05,440 --> 00:36:06,380
Så det är ju rätt skoj.
816 00:36:08,480 --> 00:36:09,580
Så vad riktar det?
817 00:36:09,600 --> 00:36:11,360
Resta den här riktade spridningen?
818 00:36:11,740 --> 00:36:13,980
Ja, det gick ju då till några olika grupper.
819 00:36:14,080 --> 00:36:16,060
Bland annat på ett par CA-arna jag har för mig.
820 00:36:16,480 --> 00:36:16,560
På?
821 00:36:16,700 --> 00:36:18,560
Ett par Certificate Authorities.
822 00:36:18,660 --> 00:36:19,320
Ah, nu har jag.
823 00:36:19,660 --> 00:36:21,560
Och vad jag har sett då mot
824 00:36:21,560 --> 00:36:24,840
några bolag som jobbar med skadasystem.
825 00:36:25,260 --> 00:36:26,460
Innan sagt vilket det är har jag inte koll på.
826 00:36:26,820 --> 00:36:28,100
Löpte den amok sen då eller?
827 00:36:28,280 --> 00:36:29,140
Sen spred den sig.
828 00:36:30,480 --> 00:36:31,540
Som de här gör.
829 00:36:31,960 --> 00:36:32,700
Till viss mån.
830 00:36:33,080 --> 00:36:35,940
Den har inte alls lika avancerade spridningskapabilitet
831 00:36:35,940 --> 00:36:37,480
som Stuxnet har, vad man har kunnat se.
832 00:36:38,720 --> 00:36:39,240
Den…
833 00:36:39,240 --> 00:36:39,440
Den…
834 00:36:39,440 --> 00:36:42,880
Den kan absolut replikera sig över nätet.
835 00:36:42,980 --> 00:36:44,700
Men den kräver lite mer
836 00:36:44,700 --> 00:36:47,560
specifika omständigheter kan man väl säga.
837 00:36:47,940 --> 00:36:49,600
Eller ja, nu har vi krävit Stuxnet också det visserligen.
838 00:36:49,720 --> 00:36:51,240
Men den sprider sig lite enklare.
839 00:36:51,940 --> 00:36:55,920
Så det var förmodligen målet att man skulle hålla den här lite mindre…
840 00:36:55,920 --> 00:36:57,860
Om man vill inte få spridning på hela nätet helt enkelt.
841 00:36:58,320 --> 00:37:00,740
Utan fokuset var snarare att det skulle vara på de här bolagen
842 00:37:00,740 --> 00:37:01,820
eller hos de här gubbarna då.
843 00:37:02,660 --> 00:37:05,800
Och sen så skulle den ringa hem till en rad olika command-and-control-server
844 00:37:05,800 --> 00:37:08,060
och berätta att den här informationen finns.
845 00:37:08,060 --> 00:37:10,400
Så att hämta den och göra sen vad du vill.
846 00:37:11,160 --> 00:37:14,280
De har gjort ganska mycket analys på command-and-control-serverna dessutom.
847 00:37:15,000 --> 00:37:16,880
Väget är spännande att läsa om.
848 00:37:17,560 --> 00:37:20,960
Kaspersky har tre bloggposter om bara det.
849 00:37:21,960 --> 00:37:24,120
Så de ligger på lite olika platser än i Vietnam
850 00:37:24,120 --> 00:37:26,020
och någon i Holland tror jag.
851 00:37:26,480 --> 00:37:30,280
Var det de som fejkade att de var ett dåligt CMS-system
852 00:37:30,280 --> 00:37:32,240
eller någonting annat så här om man gick in på dem?
853 00:37:32,580 --> 00:37:34,720
Det tror jag inte.
854 00:37:35,300 --> 00:37:37,220
Man har inte kunnat få ut så mycket från de här.
855 00:37:38,060 --> 00:37:42,960
Tyvärr så har man varit lite för sen varje gång typ.
856 00:37:43,500 --> 00:37:46,460
Man har mest kunnat kolla efteråt och sett okej, ungefär vad har de gjort?
857 00:37:47,000 --> 00:37:50,240
De har nämligen wipat sig själva eller blivit wipade av någon annan
858 00:37:50,680 --> 00:37:55,360
ganska fort efter att man började upptäcka att någon hade kommit på vad Ducu var för någonting.
859 00:37:56,180 --> 00:37:59,620
Det är nämligen till och med så att det var några, en command-and-control-server
860 00:37:59,620 --> 00:38:01,620
som låg inne på ett hostingbolag.
861 00:38:03,500 --> 00:38:07,540
Som, där man hade upptäckt att okej, den kör en command-and-control-server.
862 00:38:08,060 --> 00:38:10,540
En expert skulle ju ringa och säga hej, kan ni ta en image på den här?
863 00:38:10,540 --> 00:38:12,040
Typ nu.
864 00:38:12,040 --> 00:38:15,920
De svarade fyra timmar senare, ja absolut, nu gör vi det.
865 00:38:15,920 --> 00:38:19,760
Fyra timmar innan det, eller tre timmar innan det hände att man varit inne och vaktat maskinen.
866 00:38:19,760 --> 00:38:23,740
Så det är så här, ah, då hade man kanske vetat lite mer.
867 00:38:23,740 --> 00:38:33,180
Men ja, om command-and-control-serverna kan man säga det att de personer som styrde de här, eller personerna
868 00:38:33,180 --> 00:38:35,980
hade en svaghet för CentOS-maskiner.
869 00:38:35,980 --> 00:38:37,980
I version 5.x.
870 00:38:38,060 --> 00:38:44,460
Så frågan är om de har en zero-day i de maskinerna, som fortfarande inte känns till, det vet man inte.
871 00:38:44,460 --> 00:38:47,660
Samtidigt som man kollar på loggarna, hur de förmodligen kommer över dem.
872 00:38:47,660 --> 00:38:51,600
I vissa fall så finns de bara där plötsligt, i andra fall så ser det ut som att de har brute-forced,
873 00:38:51,600 --> 00:38:53,600
brute-lösenord.
874 00:38:53,600 --> 00:38:57,000
Och sen så är det bland det första man har gjort när man kommit in på en maskin som man vill ta över,
875 00:38:57,000 --> 00:39:05,240
är att uppdatera OpenSSH-versionen till, från 4.3 som ligger som standard på CentOS 5.x tydligen.
876 00:39:05,240 --> 00:39:07,240
Till OpenSSH 5.x.
877 00:39:08,060 --> 00:39:16,940
Vilket har fått dem att tro att det är mycket möjligt att de också har en zero-day i OpenSSH-programmet.
878 00:39:16,940 --> 00:39:22,700
Jag har för mig att Stuxnet också körde CentOS på sina command-and-control-server.
879 00:39:22,700 --> 00:39:24,700
Ja, möjligt.
880 00:39:24,700 --> 00:39:26,700
Dryckte.
881 00:39:26,700 --> 00:39:28,700
Det är väldigt intressant.
882 00:39:28,700 --> 00:39:34,000
Om man nu ska vara lite konspiratorisk och plocka fram foliehatten, så kan man fundera på,
883 00:39:34,000 --> 00:39:44,720
om det nu hade varit en, låt oss säga, en organisation med väldigt stor kapacitet för signalspaning och så vidare,
884 00:39:44,720 --> 00:39:52,360
så kan man ju tänka sig att de kanske avlyssnar antivirusleverantörerna och se om de hör av sig och säger,
885 00:39:52,360 --> 00:39:55,360
du, vi skulle vilja titta på den där maskinen.
886 00:39:55,360 --> 00:39:57,360
Destroy.
887 00:39:57,360 --> 00:40:01,000
Skulle också kunna vara så att ifall du har tagit över en command-and-control-server hos ett hostingbolag,
888 00:40:01,000 --> 00:40:02,000
så kanske du lägger lite energi på att ta över andra maskiner och så vidare.
889 00:40:02,000 --> 00:40:04,000
Ja, det skulle också kunna vara så att ifall du har tagit över en command-and-control-server hos ett hostingbolag, så kanske du lägger lite energi på att ta över andra maskiner och så vidare.
890 00:40:04,000 --> 00:40:07,260
Typ så, hej, här kommer det ett mail från Kaspersky.
891 00:40:07,260 --> 00:40:08,120
All right.
892 00:40:08,120 --> 00:40:09,280
Dags att baila.
893 00:40:09,920 --> 00:40:13,800
Men okej, det var en ganska riktad spridning.
894 00:40:13,800 --> 00:40:15,880
Målsudan bland annat.
895 00:40:15,880 --> 00:40:18,540
Jag vet inte exakt vilka bolag det är, jag vet inte ifall de har gått ut med alla heller.
896 00:40:19,060 --> 00:40:22,660
Men sen så smetar den ut och den spred sig i större volymer.
897 00:40:22,660 --> 00:40:24,160
Den är i viss mån men inte så mycket.
898 00:40:24,160 --> 00:40:27,100
För Stuxnet såg jag någon siffra på typ 100 000 eller någonting.
899 00:40:27,100 --> 00:40:30,180
Alltså betydligt mindre, orders of magnitude mindre.
900 00:40:30,780 --> 00:40:33,660
Stentkoncentrerad spridning också, dabei medคน.
901 00:40:33,660 --> 00:40:33,760
Stentkontrolerad spridning väldigt mycket.
902 00:40:33,760 --> 00:40:35,520
väldigt koncentrerat mot Iran
903 00:40:35,520 --> 00:40:38,340
i varje mail som skickades ut så var det en ny uppsättning
904 00:40:38,340 --> 00:40:40,560
av duku, nya filer
905 00:40:40,560 --> 00:40:41,840
som skilde sig
906 00:40:41,840 --> 00:40:44,840
där av de här tio olika varianterna
907 00:40:44,840 --> 00:40:46,300
eller tolv
908 00:40:46,300 --> 00:40:47,280
till och med
909 00:40:47,280 --> 00:40:50,100
så ja, också ett
910 00:40:50,100 --> 00:40:51,180
ganska
911 00:40:51,180 --> 00:40:54,380
avancerat och påkostat projekt förmodligen
912 00:40:54,380 --> 00:40:56,340
och i tidsspann här, vad tror vi här
913 00:40:56,340 --> 00:40:58,180
när det skapades de här
914 00:40:58,180 --> 00:41:00,460
vet man det, ungefär när det användes de och upptäcktes de
915 00:41:00,460 --> 00:41:02,140
ja, man har kunnat researcha lite då
916 00:41:02,140 --> 00:41:03,280
inom Reversa-koden
917 00:41:03,280 --> 00:41:06,420
och se på typ när då kommer man i control-server
918 00:41:06,420 --> 00:41:08,060
att ha tagit över den här mail-skickat och så vidare
919 00:41:08,060 --> 00:41:10,300
och man har något tidsspann
920 00:41:10,300 --> 00:41:12,440
från typ 2007
921 00:41:12,440 --> 00:41:14,080
fram till
922 00:41:14,080 --> 00:41:16,420
2009-2010
923 00:41:17,340 --> 00:41:18,440
en teori kan ju vara
924 00:41:18,440 --> 00:41:20,040
tror man att utvecklingen har skett då
925 00:41:20,040 --> 00:41:21,720
duku kan ju kanske ha föregått
926 00:41:21,720 --> 00:41:22,880
en som var första
927 00:41:22,880 --> 00:41:26,340
alltså Intel, det stämmer ju ganska väl
928 00:41:26,340 --> 00:41:27,520
överens med
929 00:41:27,520 --> 00:41:30,280
med den här tanken då, att de infekterar
930 00:41:30,280 --> 00:41:32,120
just leverantörer och så är det ju
931 00:41:32,120 --> 00:41:32,260
en
932 00:41:32,260 --> 00:41:34,920
så det skulle ju stämma rätt bra
933 00:41:34,920 --> 00:41:36,480
ta över den informationen de behöver
934 00:41:36,480 --> 00:41:37,620
men det vet man inte liksom
935 00:41:37,620 --> 00:41:40,060
och angående vilka som ligger bakom
936 00:41:40,060 --> 00:41:43,120
man har ju ingen aning förutom det man har kunnat
937 00:41:43,120 --> 00:41:44,920
liksom gissa sig till
938 00:41:44,920 --> 00:41:46,940
antagligen beroende på mål
939 00:41:46,940 --> 00:41:49,040
när fanns den in the wild
940 00:41:49,040 --> 00:41:51,340
var det ungefär samtidigt som Stuxnet var det?
941 00:41:51,500 --> 00:41:52,760
man upptäckte den i
942 00:41:52,760 --> 00:41:54,920
ett år senare, 2011
943 00:41:54,920 --> 00:41:56,520
men om man tittar på liksom
944 00:41:56,520 --> 00:41:59,120
för jag gissar på att de har säkert kunnat hitta
945 00:41:59,120 --> 00:42:01,400
den här filförekomsten tidigare
946 00:42:01,400 --> 00:42:01,600
och
947 00:42:01,600 --> 00:42:02,840
en upptäckte den
948 00:42:02,840 --> 00:42:04,400
så frågan är hur långt bort man har
949 00:42:04,400 --> 00:42:05,520
man har bevis på att den har varit
950 00:42:05,520 --> 00:42:06,240
den har ju
951 00:42:06,240 --> 00:42:07,600
ta bort sig själv
952 00:42:07,600 --> 00:42:09,100
ibland
953 00:42:09,100 --> 00:42:10,560
och sådär, så jag vet inte
954 00:42:10,560 --> 00:42:12,700
nu har inte jag det tidsspannet i huvudet
955 00:42:12,700 --> 00:42:14,140
men det jag har läst är att den har en
956 00:42:14,140 --> 00:42:15,480
en tendens att
957 00:42:15,480 --> 00:42:17,540
att vilja ta bort sig själv helt från maskinen
958 00:42:17,540 --> 00:42:19,500
efter att ha legat där i 30 dagar
959 00:42:19,500 --> 00:42:21,800
det beror ju också lite om Stuxnet
960 00:42:21,800 --> 00:42:22,440
ja precis
961 00:42:22,440 --> 00:42:23,860
just förmodligen för att minska
962 00:42:23,860 --> 00:42:25,020
att man ska kunna ta reda på
963 00:42:25,020 --> 00:42:27,000
en operation i ävare så
964 00:42:27,000 --> 00:42:28,440
inte
965 00:42:28,440 --> 00:42:30,080
precis, alltså nu har vi
966 00:42:30,080 --> 00:42:31,580
nu har vi förmodligen
967 00:42:31,600 --> 00:42:33,180
fått all information vi kan få härifrån
968 00:42:33,180 --> 00:42:35,500
den är en ganska snygg grej dock
969 00:42:35,500 --> 00:42:36,220
jag ska bara ta upp det
970 00:42:36,220 --> 00:42:37,920
från och med att du drar ner
971 00:42:37,920 --> 00:42:39,140
det här mejlet
972 00:42:39,140 --> 00:42:40,560
öppna Word-dokumentet och sådär
973 00:42:40,560 --> 00:42:42,600
då kör den ju igång sin
974 00:42:42,600 --> 00:42:43,460
attack
975 00:42:43,460 --> 00:42:45,120
så lägger den sig i minnet
976 00:42:45,120 --> 00:42:46,800
och sen så gör den ingenting
977 00:42:46,800 --> 00:42:49,680
men den persisterar i andra filer
978 00:42:49,680 --> 00:42:50,780
så du kan stänga ner Word
979 00:42:50,780 --> 00:42:52,500
sen kan du stänga ner din mejlklient
980 00:42:52,500 --> 00:42:53,840
och den ligger kvar
981 00:42:53,840 --> 00:42:55,420
och sen så ligger den och lyssnar på
982 00:42:55,420 --> 00:42:56,940
vad personen gör vid datorn
983 00:42:56,940 --> 00:42:58,780
och när den inte har känt av några
984 00:42:58,780 --> 00:43:00,360
tangentbordstryckningar eller musrörelser
985 00:43:00,360 --> 00:43:01,560
på 10 minuter
986 00:43:01,600 --> 00:43:03,340
då börjar den jobba
987 00:43:03,340 --> 00:43:05,420
den gör ingenting för dig nu
988 00:43:05,420 --> 00:43:07,540
i vilja i tell you
989 00:43:07,540 --> 00:43:09,000
vad vackert
990 00:43:09,000 --> 00:43:11,280
jag har hört en uppgift om
991 00:43:11,280 --> 00:43:12,840
den
992 00:43:12,840 --> 00:43:16,300
nu dog hjärnan
993 00:43:16,300 --> 00:43:17,200
vi får se
994 00:43:17,200 --> 00:43:20,280
jo att
995 00:43:20,280 --> 00:43:21,180
den här skulle
996 00:43:21,180 --> 00:43:24,040
inte vara så himla
997 00:43:24,040 --> 00:43:25,620
automatiserad
998 00:43:25,620 --> 00:43:28,120
utan om man tror att
999 00:43:28,120 --> 00:43:28,980
du
1000 00:43:28,980 --> 00:43:31,600
liksom att det är mer
1001 00:43:31,600 --> 00:43:32,900
eller mindre var att en person
1002 00:43:32,900 --> 00:43:34,700
satt och jobbade med en viss klien
1003 00:43:34,700 --> 00:43:36,640
när den var igång
1004 00:43:36,640 --> 00:43:38,520
och gav den väldigt specifika order
1005 00:43:38,520 --> 00:43:39,440
snarare än att
1006 00:43:39,440 --> 00:43:41,420
man jämför med SUS och liknande
1007 00:43:41,420 --> 00:43:43,680
så ger man ju order till ett helt bortnät
1008 00:43:43,680 --> 00:43:44,400
liksom nu
1009 00:43:44,400 --> 00:43:46,280
alla skickar spam
1010 00:43:46,280 --> 00:43:48,460
alla skär lös i ord och sådär
1011 00:43:48,460 --> 00:43:50,560
och då så tror man mer att
1012 00:43:50,560 --> 00:43:53,120
det kan vara ner på klientnivå
1013 00:43:53,120 --> 00:43:54,920
som sagt
1014 00:43:54,920 --> 00:43:57,460
var har jag fått den uppgiften ifrån
1015 00:43:57,460 --> 00:43:58,060
det är min
1016 00:43:58,060 --> 00:44:00,360
eller åtminstone att man har kunnat
1017 00:44:00,360 --> 00:44:01,420
ha en lista med klienter
1018 00:44:01,600 --> 00:44:03,700
lite som en bifatt
1019 00:44:03,700 --> 00:44:04,760
du kan liksom markera
1020 00:44:04,760 --> 00:44:06,400
och ge en viss klient
1021 00:44:06,400 --> 00:44:08,480
en viss uppsättning orders
1022 00:44:08,480 --> 00:44:09,840
om jag har sett något liknande
1023 00:44:09,840 --> 00:44:10,660
som tyder på samma sak
1024 00:44:10,660 --> 00:44:11,720
det är att det är väldigt
1025 00:44:11,720 --> 00:44:14,800
det var få klientdatorer
1026 00:44:14,800 --> 00:44:15,840
kopplade till varje
1027 00:44:15,840 --> 00:44:16,900
command and control server
1028 00:44:16,900 --> 00:44:19,640
och jag tror
1029 00:44:19,640 --> 00:44:20,620
det var ungefär
1030 00:44:20,620 --> 00:44:22,860
tre eller fyra command and control server
1031 00:44:22,860 --> 00:44:23,900
man kunde identifiera
1032 00:44:23,900 --> 00:44:25,240
som var knutna till dukken
1033 00:44:25,240 --> 00:44:25,920
hur många
1034 00:44:25,920 --> 00:44:27,180
har du en uppgift på det
1035 00:44:27,180 --> 00:44:28,200
jag kollar precis
1036 00:44:28,200 --> 00:44:29,140
stuxnet var ungefär
1037 00:44:29,140 --> 00:44:30,580
hundratusen infekterade
1038 00:44:30,580 --> 00:44:31,560
jag vet inte
1039 00:44:31,560 --> 00:44:32,720
jag har inte det i huvudet
1040 00:44:32,720 --> 00:44:33,260
jag kan kolla
1041 00:44:33,260 --> 00:44:35,940
om ni pratar för länge
1042 00:44:35,940 --> 00:44:38,920
det är snabbt fler coola
1043 00:44:38,920 --> 00:44:40,500
det gör det
1044 00:44:40,500 --> 00:44:41,380
man kan väl också säga
1045 00:44:41,380 --> 00:44:42,060
som så här
1046 00:44:42,060 --> 00:44:43,440
att jag vet att
1047 00:44:43,440 --> 00:44:44,780
bland en del
1048 00:44:44,780 --> 00:44:46,700
paranoia hökar
1049 00:44:46,700 --> 00:44:47,320
i USA
1050 00:44:47,320 --> 00:44:49,340
så tycker man ju inte alls om
1051 00:44:49,340 --> 00:44:51,380
Kapersky
1052 00:44:51,380 --> 00:44:53,000
och i förlängningen också
1053 00:44:53,000 --> 00:44:54,100
det här
1054 00:44:54,100 --> 00:44:55,360
är det crisis
1055 00:44:55,360 --> 00:44:56,220
crisis
1056 00:44:56,220 --> 00:44:57,300
crisis
1057 00:44:57,300 --> 00:44:58,620
de som först analyserade dukken
1058 00:44:58,620 --> 00:45:00,560
som har hjälpt Kapersky
1059 00:45:00,560 --> 00:45:01,480
och samarbetade med
1060 00:45:01,480 --> 00:45:01,540
Kapersky
1061 00:45:01,560 --> 00:45:02,800
analysen och sånt
1062 00:45:02,800 --> 00:45:04,100
nu ligger väl här
1063 00:45:04,100 --> 00:45:05,520
crisis ligger väl i typ
1064 00:45:05,520 --> 00:45:07,080
ungen eller någonting
1065 00:45:07,080 --> 00:45:08,820
de ligger i ett neutralt land
1066 00:45:08,820 --> 00:45:09,180
men
1067 00:45:09,180 --> 00:45:10,900
men Kapersky
1068 00:45:10,900 --> 00:45:12,680
insinueras ju liksom
1069 00:45:12,680 --> 00:45:14,260
att det här är en förlängning av
1070 00:45:14,260 --> 00:45:16,940
den ryska underrättetjänsten
1071 00:45:16,940 --> 00:45:17,640
FSB
1072 00:45:17,640 --> 00:45:19,620
alltså att man menar på att
1073 00:45:19,620 --> 00:45:21,920
de Kapersky samarbetar
1074 00:45:21,920 --> 00:45:22,480
och att
1075 00:45:22,480 --> 00:45:23,800
Kapersky
1076 00:45:23,800 --> 00:45:25,480
går hårt åt
1077 00:45:25,480 --> 00:45:26,980
den här typen av malware
1078 00:45:26,980 --> 00:45:27,920
för att Putin
1079 00:45:27,920 --> 00:45:29,980
vill sabra för amerikanerna
1080 00:45:29,980 --> 00:45:30,400
ja men
1081 00:45:30,400 --> 00:45:30,880
alltså de
1082 00:45:30,880 --> 00:45:31,540
om man nu
1083 00:45:31,540 --> 00:45:32,660
återigen sätter på sig
1084 00:45:32,660 --> 00:45:33,340
foliehatten
1085 00:45:33,340 --> 00:45:35,020
så känns det ju jättefint
1086 00:45:35,020 --> 00:45:35,860
att installera
1087 00:45:35,860 --> 00:45:36,940
någonting som kommer från
1088 00:45:36,940 --> 00:45:38,400
en rysk spelare
1089 00:45:38,400 --> 00:45:38,780
med
1090 00:45:38,780 --> 00:45:39,280
jag vet
1091 00:45:39,280 --> 00:45:40,460
systemrättigheter
1092 00:45:40,460 --> 00:45:41,460
på min maskin
1093 00:45:41,460 --> 00:45:44,400
som dessutom
1094 00:45:44,400 --> 00:45:45,700
alltså det är ju
1095 00:45:45,700 --> 00:45:45,920
det är ju faktiskt
1096 00:45:45,920 --> 00:45:46,640
att det finns ju
1097 00:45:46,640 --> 00:45:47,660
personkopplingar
1098 00:45:47,660 --> 00:45:48,660
man kunde kartlägga
1099 00:45:48,660 --> 00:45:49,840
alltså Kapersky
1100 00:45:49,840 --> 00:45:50,760
har ju på
1101 00:45:50,760 --> 00:45:52,400
det personliga planet
1102 00:45:52,400 --> 00:45:53,040
finns det ju
1103 00:45:53,040 --> 00:45:53,620
kopplingar
1104 00:45:53,620 --> 00:45:53,920
till
1105 00:45:53,920 --> 00:45:54,300
till
1106 00:45:54,300 --> 00:45:55,500
underrättetjänsten
1107 00:45:55,500 --> 00:45:56,300
men
1108 00:45:56,300 --> 00:45:56,860
men alltså nu
1109 00:45:56,860 --> 00:45:57,120
nu
1110 00:45:57,120 --> 00:45:58,080
mitt virusskydd
1111 00:45:58,080 --> 00:45:58,660
vill ringa hem
1112 00:45:58,660 --> 00:46:00,260
ja det är klart
1113 00:46:00,260 --> 00:46:01,020
det måste ju ha hem
1114 00:46:01,020 --> 00:46:01,400
nya definieringar
1115 00:46:01,540 --> 00:46:03,380
men då kan vi inte välja
1116 00:46:03,380 --> 00:46:04,260
Symantec heller
1117 00:46:04,260 --> 00:46:04,960
nej nej nej
1118 00:46:04,960 --> 00:46:05,720
de sitter ju
1119 00:46:05,720 --> 00:46:06,400
ja visst
1120 00:46:06,400 --> 00:46:08,000
väldigt stora uppdateringar
1121 00:46:08,000 --> 00:46:09,260
vi får köra Panda
1122 00:46:09,260 --> 00:46:11,920
men det tycker jag är så roligt
1123 00:46:11,920 --> 00:46:12,500
när det kommer
1124 00:46:12,500 --> 00:46:13,140
sådana här från
1125 00:46:13,140 --> 00:46:14,200
uppenbart
1126 00:46:14,200 --> 00:46:15,280
alltså
1127 00:46:15,280 --> 00:46:17,600
personer som uppenbart
1128 00:46:17,600 --> 00:46:18,620
har ett intresse
1129 00:46:18,620 --> 00:46:19,920
eller är extremt
1130 00:46:19,920 --> 00:46:20,680
patriotiska
1131 00:46:20,680 --> 00:46:21,400
mot sitt land
1132 00:46:21,400 --> 00:46:22,360
eller någonting liknande
1133 00:46:22,360 --> 00:46:23,200
när det kommer
1134 00:46:23,200 --> 00:46:24,180
sådana här uppgifter
1135 00:46:24,180 --> 00:46:26,000
det kommer
1136 00:46:26,000 --> 00:46:26,720
det kommer lite
1137 00:46:26,720 --> 00:46:27,660
en millimeter
1138 00:46:27,660 --> 00:46:28,580
med information
1139 00:46:28,580 --> 00:46:29,520
som liksom ger
1140 00:46:29,520 --> 00:46:31,380
varför säger den här
1141 00:46:31,380 --> 00:46:31,520
och har den
1142 00:46:31,520 --> 00:46:32,140
har ni några
1143 00:46:32,140 --> 00:46:33,580
små uppgifter på det här
1144 00:46:33,580 --> 00:46:34,760
eller är ni bara sura
1145 00:46:34,760 --> 00:46:35,500
för närvarande
1146 00:46:35,500 --> 00:46:37,080
ja
1147 00:46:37,080 --> 00:46:37,480
så
1148 00:46:37,480 --> 00:46:38,800
som mig veteligen
1149 00:46:38,800 --> 00:46:39,820
så är att
1150 00:46:39,820 --> 00:46:40,820
Kapersky skulle vara
1151 00:46:40,820 --> 00:46:41,420
en förlängning
1152 00:46:41,420 --> 00:46:42,340
av den ryska
1153 00:46:42,340 --> 00:46:43,100
underrättetjänsten
1154 00:46:43,100 --> 00:46:44,460
jag tror bara
1155 00:46:44,460 --> 00:46:45,540
det här är rent
1156 00:46:45,540 --> 00:46:46,500
skrock
1157 00:46:46,500 --> 00:46:47,800
från vissa patriotiska
1158 00:46:47,800 --> 00:46:48,520
hökar i USA
1159 00:46:49,860 --> 00:46:51,920
yes
1160 00:46:51,920 --> 00:46:53,500
we will never know
1161 00:46:53,500 --> 00:46:54,480
we will never know
1162 00:46:54,480 --> 00:46:55,200
jag har inte kunnat hitta
1163 00:46:55,200 --> 00:46:55,660
en uppgift
1164 00:46:55,660 --> 00:46:56,220
på det
1165 00:46:56,220 --> 00:46:57,100
men det går säkert
1166 00:46:57,100 --> 00:46:57,760
att godläsa fram till
1167 00:46:57,760 --> 00:46:58,120
som sagt
1168 00:46:58,120 --> 00:46:58,460
jag tror inte
1169 00:46:58,460 --> 00:46:59,240
att det var särskilt många
1170 00:46:59,240 --> 00:47:01,280
och definitivt inte
1171 00:47:01,280 --> 00:47:01,880
i storleken
1172 00:47:01,880 --> 00:47:02,480
stycksnett
1173 00:47:02,480 --> 00:47:03,820
den var nog betydligt
1174 00:47:03,820 --> 00:47:04,540
mer riktad
1175 00:47:04,540 --> 00:47:04,940
men
1176 00:47:04,940 --> 00:47:07,100
jag låter alla
1177 00:47:07,100 --> 00:47:08,000
att gå in på
1178 00:47:08,000 --> 00:47:09,360
Kaperskys blogg
1179 00:47:09,360 --> 00:47:09,760
och läsa
1180 00:47:09,760 --> 00:47:10,620
på med hjärnan
1181 00:47:10,620 --> 00:47:11,300
där kan man dessutom
1182 00:47:11,300 --> 00:47:11,980
också se
1183 00:47:11,980 --> 00:47:13,460
mejlen som skickades
1184 00:47:13,460 --> 00:47:14,980
åtminstone ett av dem
1185 00:47:14,980 --> 00:47:15,920
hur de skrevs
1186 00:47:15,920 --> 00:47:17,300
och även
1187 00:47:17,300 --> 00:47:18,400
ett av word-dokumenten
1188 00:47:18,400 --> 00:47:19,540
screenshotat
1189 00:47:19,540 --> 00:47:20,720
alltså man kan inte
1190 00:47:20,720 --> 00:47:21,160
öppna det
1191 00:47:21,160 --> 00:47:22,340
nej det ligger som en bild
1192 00:47:22,340 --> 00:47:23,360
du får nog öppna den
1193 00:47:23,360 --> 00:47:23,740
om du vill
1194 00:47:23,740 --> 00:47:24,140
verkligen
1195 00:47:24,140 --> 00:47:25,540
kan du säkert hitta det
1196 00:47:25,540 --> 00:47:26,760
på internet någonstans
1197 00:47:26,760 --> 00:47:27,140
men
1198 00:47:27,140 --> 00:47:29,540
de misslyckades
1199 00:47:29,540 --> 00:47:29,960
dessutom
1200 00:47:29,960 --> 00:47:30,760
med att få igenom det
1201 00:47:30,760 --> 00:47:31,540
det hamnade i
1202 00:47:31,540 --> 00:47:32,660
junk-foldern först
1203 00:47:32,660 --> 00:47:33,960
första gången
1204 00:47:33,960 --> 00:47:34,320
de skickade
1205 00:47:34,320 --> 00:47:35,320
de var tvungna
1206 00:47:35,320 --> 00:47:36,040
att skicka det igen
1207 00:47:36,040 --> 00:47:37,000
med en ny subject line
1208 00:47:37,000 --> 00:47:38,480
så att
1209 00:47:38,480 --> 00:47:39,740
och sen kan man också
1210 00:47:39,740 --> 00:47:40,760
säga såhär att
1211 00:47:40,760 --> 00:47:41,980
med tanke på texten
1212 00:47:41,980 --> 00:47:42,560
i mejlet
1213 00:47:42,560 --> 00:47:44,440
ja
1214 00:47:44,440 --> 00:47:45,980
det vittnar ju inte
1215 00:47:45,980 --> 00:47:46,480
riktigt kanske
1216 00:47:46,480 --> 00:47:46,800
om de
1217 00:47:46,800 --> 00:47:48,320
mest avancerade
1218 00:47:48,320 --> 00:47:49,160
hackarna någonsin
1219 00:47:49,160 --> 00:47:51,220
den känns lite
1220 00:47:51,220 --> 00:47:51,860
spännig
1221 00:47:51,860 --> 00:47:52,480
det bygger ju på
1222 00:47:52,480 --> 00:47:53,380
nyfikenhet
1223 00:47:53,380 --> 00:47:55,440
kanske var meningen
1224 00:47:55,440 --> 00:47:55,860
i och för sig
1225 00:47:55,860 --> 00:47:56,820
lite false flag
1226 00:47:56,820 --> 00:47:57,900
men ja
1227 00:47:57,900 --> 00:47:59,280
sen kan jag också
1228 00:47:59,280 --> 00:48:00,020
underteckna det också
1229 00:48:00,020 --> 00:48:00,220
med
1230 00:48:00,220 --> 00:48:00,620
Mr.
1231 00:48:00,760 --> 00:48:00,920
B.
1232 00:48:01,060 --> 00:48:01,440
Jason
1233 00:48:01,440 --> 00:48:02,820
Marketing Manager
1234 00:48:02,820 --> 00:48:05,180
sen har jag hört
1235 00:48:05,180 --> 00:48:06,100
en uppgift från
1236 00:48:06,100 --> 00:48:07,060
jag tror det är
1237 00:48:07,060 --> 00:48:08,120
Microsoft Research
1238 00:48:08,120 --> 00:48:08,940
som har publicerat
1239 00:48:08,940 --> 00:48:10,180
en analys av
1240 00:48:10,180 --> 00:48:11,340
inte det här
1241 00:48:11,340 --> 00:48:11,740
men
1242 00:48:11,740 --> 00:48:13,740
hur spam
1243 00:48:13,740 --> 00:48:14,460
och bedrägeri
1244 00:48:14,460 --> 00:48:15,580
funkar i allmänhet
1245 00:48:15,580 --> 00:48:17,120
till exempel
1246 00:48:17,120 --> 00:48:18,300
så undrar vi
1247 00:48:18,300 --> 00:48:18,520
alltså
1248 00:48:18,520 --> 00:48:19,700
varför är folk
1249 00:48:19,700 --> 00:48:20,300
så dumma
1250 00:48:20,300 --> 00:48:20,900
så att de skriver
1251 00:48:20,900 --> 00:48:22,420
att de är från Nigeria
1252 00:48:22,420 --> 00:48:23,720
i början på mejl
1253 00:48:23,720 --> 00:48:24,640
men
1254 00:48:24,640 --> 00:48:26,600
det är jättebra
1255 00:48:26,600 --> 00:48:27,240
sätt
1256 00:48:27,240 --> 00:48:27,940
att få
1257 00:48:27,940 --> 00:48:29,060
rätt personer
1258 00:48:29,060 --> 00:48:29,980
att ignorera det
1259 00:48:29,980 --> 00:48:30,220
för att
1260 00:48:30,220 --> 00:48:31,580
alla vet om
1261 00:48:31,580 --> 00:48:32,140
att det är någonting
1262 00:48:32,140 --> 00:48:33,400
konstigt med Nigeria
1263 00:48:33,400 --> 00:48:34,760
vi kanske inte vet om
1264 00:48:34,760 --> 00:48:35,620
just att det finns
1265 00:48:35,620 --> 00:48:36,860
en konstig lagstiftning
1266 00:48:36,860 --> 00:48:37,360
i Nigeria
1267 00:48:37,360 --> 00:48:37,880
som gör
1268 00:48:37,880 --> 00:48:39,440
it-brottslighet
1269 00:48:39,440 --> 00:48:40,120
mot utlandet
1270 00:48:40,120 --> 00:48:40,720
mer eller mindre
1271 00:48:40,720 --> 00:48:41,920
laglig och liknande
1272 00:48:41,920 --> 00:48:42,460
men
1273 00:48:42,460 --> 00:48:44,380
just det
1274 00:48:44,380 --> 00:48:45,540
vi vet att Nigeria
1275 00:48:45,540 --> 00:48:46,760
är alltid bedrägerier
1276 00:48:46,760 --> 00:48:48,040
gör att de som
1277 00:48:48,040 --> 00:48:49,200
senare
1278 00:48:49,200 --> 00:48:50,040
kommer välja
1279 00:48:50,040 --> 00:48:50,920
att avbryta
1280 00:48:50,920 --> 00:48:51,580
för att de inser
1281 00:48:51,580 --> 00:48:52,580
att något är konstigt
1282 00:48:52,580 --> 00:48:53,700
de ignorerar det
1283 00:48:53,700 --> 00:48:54,240
direkt
1284 00:48:54,240 --> 00:48:55,460
om man har
1285 00:48:55,460 --> 00:48:56,380
någonting som är
1286 00:48:56,380 --> 00:48:58,220
tillräckligt dumt
1287 00:48:58,220 --> 00:48:59,620
så filtrerar
1288 00:48:59,620 --> 00:49:00,020
det bort
1289 00:49:00,020 --> 00:49:01,280
de mest paranoida
1290 00:49:01,280 --> 00:49:01,800
hökarna
1291 00:49:01,800 --> 00:49:02,620
för de bara ignorerar
1292 00:49:02,620 --> 00:49:03,360
det som skräp
1293 00:49:03,360 --> 00:49:04,700
du plockar verkligen
1294 00:49:04,700 --> 00:49:05,540
bara de lägst
1295 00:49:05,540 --> 00:49:06,360
hängande frukterna
1296 00:49:06,360 --> 00:49:06,740
med andra ord
1297 00:49:06,740 --> 00:49:07,640
du maximerar din
1298 00:49:07,640 --> 00:49:09,720
vinst helt enkelt
1299 00:49:09,720 --> 00:49:11,100
alltså hit ratio
1300 00:49:11,100 --> 00:49:12,460
och just det
1301 00:49:12,460 --> 00:49:13,280
så kanske man också
1302 00:49:13,280 --> 00:49:14,160
du kvalificerar
1303 00:49:14,160 --> 00:49:14,500
dina kunder
1304 00:49:14,500 --> 00:49:15,880
om det ser tillräckligt
1305 00:49:15,880 --> 00:49:16,860
oseriöst ut
1306 00:49:16,860 --> 00:49:17,900
så kanske du inte tänker
1307 00:49:17,900 --> 00:49:18,740
att det här är nog
1308 00:49:18,740 --> 00:49:19,640
gundrättstjänster
1309 00:49:19,640 --> 00:49:20,240
som är emot mig
1310 00:49:20,240 --> 00:49:20,980
utan du tänker att
1311 00:49:20,980 --> 00:49:21,920
det är någon jävla
1312 00:49:21,920 --> 00:49:22,700
malware snubbe
1313 00:49:22,700 --> 00:49:23,140
som vill ha mitt
1314 00:49:23,140 --> 00:49:24,000
knytkortsnummer
1315 00:49:24,000 --> 00:49:25,180
det är lite som
1316 00:49:25,180 --> 00:49:27,440
då förstår jag reaktionen
1317 00:49:27,440 --> 00:49:28,120
på varför de blev
1318 00:49:28,120 --> 00:49:29,140
så jävla sura
1319 00:49:29,140 --> 00:49:30,020
när jag har
1320 00:49:30,020 --> 00:49:31,300
hade Microsoft Support
1321 00:49:31,300 --> 00:49:31,880
på luren
1322 00:49:31,880 --> 00:49:33,940
i över en timme
1323 00:49:33,940 --> 00:49:35,840
och lät dem hålla på
1324 00:49:35,840 --> 00:49:38,620
och dessutom
1325 00:49:38,620 --> 00:49:40,840
så bad jag dem
1326 00:49:40,840 --> 00:49:41,340
ringa upp min
1327 00:49:41,340 --> 00:49:42,300
mobiltelefon då
1328 00:49:42,300 --> 00:49:43,000
eftersom att
1329 00:49:43,000 --> 00:49:44,100
jag hade ju ingen
1330 00:49:44,100 --> 00:49:44,480
hands
1331 00:49:44,480 --> 00:49:45,580
jag kunde inte prata
1332 00:49:45,580 --> 00:49:47,600
för datorn var ju
1333 00:49:47,600 --> 00:49:48,420
inte vid telefonen
1334 00:49:48,420 --> 00:49:49,080
så du får ringa mig
1335 00:49:49,080 --> 00:49:49,980
på mobilen
1336 00:49:49,980 --> 00:49:52,840
det är roligt
1337 00:49:52,840 --> 00:49:55,440
men jag kan säga såhär
1338 00:49:55,440 --> 00:49:56,120
jag hade nog inte
1339 00:49:56,120 --> 00:49:57,600
öppnat den dock-filen
1340 00:49:57,600 --> 00:49:58,120
om jag hade fått
1341 00:49:58,120 --> 00:49:59,100
det mejlet
1342 00:49:59,100 --> 00:49:59,420
det är såhär
1343 00:49:59,420 --> 00:50:00,000
det är såhär
1344 00:50:00,000 --> 00:50:01,220
I found the details
1345 00:50:01,220 --> 00:50:01,940
of your company
1346 00:50:01,940 --> 00:50:02,720
on your website
1347 00:50:02,720 --> 00:50:03,680
and would like to
1348 00:50:03,680 --> 00:50:04,500
establish business
1349 00:50:04,500 --> 00:50:05,100
cooperation
1350 00:50:05,100 --> 00:50:05,920
with your company
1351 00:50:05,920 --> 00:50:06,720
sådana har jag fått
1352 00:50:06,720 --> 00:50:07,200
flera stycken
1353 00:50:07,200 --> 00:50:08,160
in the attached file
1354 00:50:08,160 --> 00:50:09,000
please see a list
1355 00:50:09,000 --> 00:50:09,700
of requests
1356 00:50:09,700 --> 00:50:10,880
öppna lite dem
1357 00:50:10,880 --> 00:50:13,020
så att
1358 00:50:13,020 --> 00:50:13,800
jag vet inte
1359 00:50:13,800 --> 00:50:14,860
det är lite märkligt
1360 00:50:14,860 --> 00:50:15,720
det där
1361 00:50:15,720 --> 00:50:16,560
ja men det är lite så
1362 00:50:16,560 --> 00:50:17,140
någon som vill bli
1363 00:50:17,140 --> 00:50:18,320
kompis med en på LinkedIn
1364 00:50:18,320 --> 00:50:19,560
och man kollar liksom såhär
1365 00:50:19,560 --> 00:50:20,900
jag hade jobbat
1366 00:50:20,900 --> 00:50:21,740
med den här personen
1367 00:50:21,740 --> 00:50:22,160
och jag hade varit
1368 00:50:22,160 --> 00:50:23,600
i landet han är från
1369 00:50:23,600 --> 00:50:25,020
jag hade hört talas
1370 00:50:25,020 --> 00:50:25,900
om namnet
1371 00:50:25,900 --> 00:50:26,320
men
1372 00:50:26,320 --> 00:50:27,540
det är helt läskigt
1373 00:50:27,540 --> 00:50:28,480
men samtidigt ska man säga
1374 00:50:28,480 --> 00:50:29,520
de här skickades ju
1375 00:50:29,520 --> 00:50:30,800
bland de första infekterade
1376 00:50:30,800 --> 00:50:31,780
var ju några i Sudan
1377 00:50:31,780 --> 00:50:32,860
så man kan tänka sig att
1378 00:50:32,860 --> 00:50:34,680
det kanske är lite så
1379 00:50:34,680 --> 00:50:35,840
om jargongen går där nere
1380 00:50:35,840 --> 00:50:38,480
kanske hade gjort
1381 00:50:38,480 --> 00:50:39,100
sin research
1382 00:50:39,100 --> 00:50:40,060
kanske
1383 00:50:40,060 --> 00:50:41,920
ungefär åtta månader
1384 00:50:41,920 --> 00:50:42,440
efter
1385 00:50:42,440 --> 00:50:43,380
Ducu
1386 00:50:43,380 --> 00:50:45,000
så kommer Flame
1387 00:50:45,000 --> 00:50:46,120
Flame
1388 00:50:46,120 --> 00:50:46,900
Flame
1389 00:50:46,900 --> 00:50:48,740
ja det var ju
1390 00:50:48,740 --> 00:50:49,240
alltså Flame
1391 00:50:49,240 --> 00:50:50,220
jag går ju igång på namnet
1392 00:50:50,220 --> 00:50:50,880
stenhårt liksom
1393 00:50:50,880 --> 00:50:51,900
det måste ju vara
1394 00:50:51,900 --> 00:50:52,940
det coolaste
1395 00:50:52,940 --> 00:50:53,980
malwareet
1396 00:50:53,980 --> 00:50:54,620
bortsett från
1397 00:50:54,620 --> 00:50:55,300
go to fail
1398 00:50:55,300 --> 00:50:56,140
som vi alltid kommer
1399 00:50:56,140 --> 00:50:57,380
alltid kommer vinna
1400 00:50:57,380 --> 00:50:57,920
på något sätt
1401 00:50:57,920 --> 00:50:59,500
Flame
1402 00:50:59,520 --> 00:51:01,460
varför heter det Flame
1403 00:51:01,460 --> 00:51:02,780
det vet jag
1404 00:51:02,780 --> 00:51:04,820
det är en utav
1405 00:51:04,820 --> 00:51:06,720
metoderna
1406 00:51:06,720 --> 00:51:07,200
i
1407 00:51:07,200 --> 00:51:08,740
huvudmodulen
1408 00:51:08,740 --> 00:51:09,600
som
1409 00:51:09,600 --> 00:51:10,460
nu ska vi se
1410 00:51:10,460 --> 00:51:11,180
den heter
1411 00:51:11,180 --> 00:51:16,000
frog.defaultattacks.a
1412 00:51:16,000 --> 00:51:16,900
slash
1413 00:51:16,900 --> 00:51:18,180
install flame
1414 00:51:18,180 --> 00:51:20,780
var det någon del av det där
1415 00:51:20,780 --> 00:51:21,200
frog
1416 00:51:21,200 --> 00:51:21,860
eller hörde jag fel
1417 00:51:21,860 --> 00:51:22,420
ja frog
1418 00:51:22,420 --> 00:51:24,260
jag tycker redan om malwareet
1419 00:51:24,260 --> 00:51:25,540
har du berättat om
1420 00:51:25,540 --> 00:51:26,360
min gröna groda
1421 00:51:26,360 --> 00:51:27,360
jag kan eventuellt
1422 00:51:27,360 --> 00:51:28,060
vara inblandad
1423 00:51:28,060 --> 00:51:29,360
ja
1424 00:51:29,520 --> 00:51:30,220
go on
1425 00:51:30,220 --> 00:51:32,160
det här börjar bra
1426 00:51:32,160 --> 00:51:33,240
det är floppig som botar
1427 00:51:33,240 --> 00:51:34,060
den gröna grodan
1428 00:51:34,060 --> 00:51:35,180
berättade i
1429 00:51:35,180 --> 00:51:36,180
julemsavsnittet
1430 00:51:36,180 --> 00:51:36,540
tror jag det var
1431 00:51:36,540 --> 00:51:38,600
får vi referera tillbaks
1432 00:51:38,600 --> 00:51:39,660
till det
1433 00:51:39,660 --> 00:51:40,200
nej det har en massa
1434 00:51:40,200 --> 00:51:40,880
coola namn
1435 00:51:40,880 --> 00:51:41,520
de här modulerna
1436 00:51:41,520 --> 00:51:43,320
för det är moduluppbyggt
1437 00:51:43,320 --> 00:51:44,000
Flame
1438 00:51:44,000 --> 00:51:45,680
typ 20 moduler
1439 00:51:45,680 --> 00:51:46,040
ungefär
1440 00:51:46,040 --> 00:51:46,960
frog
1441 00:51:46,960 --> 00:51:47,600
limbo
1442 00:51:47,600 --> 00:51:48,440
beetlejuice
1443 00:51:48,440 --> 00:51:49,300
microbe
1444 00:51:49,300 --> 00:51:49,920
munch
1445 00:51:49,920 --> 00:51:50,600
gator
1446 00:51:50,600 --> 00:51:51,220
security
1447 00:51:51,220 --> 00:51:52,040
gadget
1448 00:51:52,040 --> 00:51:53,720
snack
1449 00:51:53,720 --> 00:51:55,340
weasel
1450 00:51:55,340 --> 00:51:55,920
bunny
1451 00:51:55,920 --> 00:51:57,160
det måste ju vara amerikaner
1452 00:51:57,160 --> 00:51:58,100
ja det låter som
1453 00:51:58,100 --> 00:51:58,800
kodnamn
1454 00:51:58,800 --> 00:51:59,220
nej
1455 00:51:59,520 --> 00:52:00,460
bara det att de
1456 00:52:00,460 --> 00:52:01,960
bara det att de har ordet snack
1457 00:52:01,960 --> 00:52:03,740
men om vi
1458 00:52:03,740 --> 00:52:04,680
om vi nu bara tittar
1459 00:52:04,680 --> 00:52:06,340
om vi snabbt hoppar in på
1460 00:52:06,340 --> 00:52:07,140
snoden avslöj
1461 00:52:07,140 --> 00:52:08,060
när vi flyr därifrån
1462 00:52:08,060 --> 00:52:09,060
så fort som möjligt
1463 00:52:09,060 --> 00:52:09,740
men
1464 00:52:09,740 --> 00:52:11,140
britterna har ju
1465 00:52:11,140 --> 00:52:12,820
de roligaste namnen
1466 00:52:12,820 --> 00:52:14,400
de hade ju paranoid smurf
1467 00:52:14,400 --> 00:52:15,220
och allt annat
1468 00:52:15,220 --> 00:52:15,620
liksom
1469 00:52:15,620 --> 00:52:17,480
utifrån att det är
1470 00:52:17,480 --> 00:52:18,080
det låter ju typ som
1471 00:52:18,080 --> 00:52:19,580
det är roliga namn
1472 00:52:19,580 --> 00:52:20,320
så låter det som att
1473 00:52:20,320 --> 00:52:21,100
någon har haft kul
1474 00:52:21,100 --> 00:52:21,760
när de hittar på det
1475 00:52:21,760 --> 00:52:23,380
betyder det på att det är britterna
1476 00:52:23,380 --> 00:52:24,040
är den enda som har
1477 00:52:24,040 --> 00:52:24,880
kanske mer konstiga
1478 00:52:24,880 --> 00:52:25,840
naming conversions än så
1479 00:52:25,840 --> 00:52:26,780
skulle väl vara det europeiska
1480 00:52:26,780 --> 00:52:27,920
ja
1481 00:52:27,920 --> 00:52:28,380
ja
1482 00:52:28,380 --> 00:52:28,640
ja
1483 00:52:28,640 --> 00:52:28,860
ja
1484 00:52:28,860 --> 00:52:29,360
ja
1485 00:52:29,360 --> 00:52:29,480
ja
1486 00:52:29,480 --> 00:52:29,500
ja
1487 00:52:29,520 --> 00:52:29,840
the moment
1488 00:52:29,840 --> 00:52:32,460
bortsett från då
1489 00:52:32,460 --> 00:52:33,360
modulariteten
1490 00:52:33,360 --> 00:52:34,640
så gör jag ju att den är lite lik
1491 00:52:34,640 --> 00:52:35,380
doku egentligen
1492 00:52:35,380 --> 00:52:36,920
så finns det väldigt få likheter
1493 00:52:36,920 --> 00:52:38,560
det är helt annat djur
1494 00:52:38,560 --> 00:52:38,980
och framförallt
1495 00:52:38,980 --> 00:52:39,600
det är helt annorlunda
1496 00:52:39,600 --> 00:52:40,600
storlek då
1497 00:52:40,600 --> 00:52:42,780
bara huvudmodulen
1498 00:52:42,780 --> 00:52:43,900
är 6 megabyte
1499 00:52:43,900 --> 00:52:45,320
vilket är mycket större
1500 00:52:45,320 --> 00:52:45,920
än både doku
1501 00:52:45,920 --> 00:52:46,620
och staxnet har varit
1502 00:52:46,620 --> 00:52:47,640
laddar du in
1503 00:52:47,640 --> 00:52:48,540
de här
1504 00:52:48,540 --> 00:52:50,460
hjälpmodulerna
1505 00:52:50,460 --> 00:52:51,540
så får du över 20 meg
1506 00:52:51,540 --> 00:52:52,400
vilket ju är typ
1507 00:52:52,400 --> 00:52:53,080
20 gånger större
1508 00:52:53,080 --> 00:52:54,340
än staxnet var
1509 00:52:54,340 --> 00:52:55,200
så att det är
1510 00:52:55,200 --> 00:52:56,400
det här är en bäst
1511 00:52:56,400 --> 00:52:57,840
ur mälvarperspektiv
1512 00:52:57,840 --> 00:52:59,020
och inte bara
1513 00:52:59,020 --> 00:52:59,360
ur storleken
1514 00:52:59,360 --> 00:52:59,480
och storleken
1515 00:52:59,480 --> 00:53:00,080
ur storleksperspektiv
1516 00:53:00,080 --> 00:53:00,820
utan även
1517 00:53:00,820 --> 00:53:02,640
när det gäller komplexitet
1518 00:53:02,640 --> 00:53:04,560
de har sagt att
1519 00:53:04,560 --> 00:53:05,720
det kommer ta
1520 00:53:05,720 --> 00:53:06,820
tiotals år
1521 00:53:06,820 --> 00:53:07,740
innan vi har analyserat
1522 00:53:07,740 --> 00:53:08,740
det här djuret
1523 00:53:08,740 --> 00:53:09,740
så att de
1524 00:53:09,740 --> 00:53:10,980
de har kommit
1525 00:53:10,980 --> 00:53:11,820
en bit på väg
1526 00:53:11,820 --> 00:53:12,220
och nu är det
1527 00:53:12,220 --> 00:53:13,420
nu är det inte poppigt längre
1528 00:53:13,420 --> 00:53:14,220
det var ju ett par år sedan
1529 00:53:14,220 --> 00:53:16,160
det här är 2012
1530 00:53:16,160 --> 00:53:16,560
maj
1531 00:53:16,560 --> 00:53:18,000
maj, juni 2012
1532 00:53:18,000 --> 00:53:18,980
var det här
1533 00:53:18,980 --> 00:53:20,160
så att
1534 00:53:20,160 --> 00:53:21,600
det kommer väl ta
1535 00:53:21,600 --> 00:53:22,120
det är väl någon
1536 00:53:22,120 --> 00:53:23,140
trött akademiker
1537 00:53:23,140 --> 00:53:24,560
som gör sin PhD-avhandling
1538 00:53:24,560 --> 00:53:25,220
på det här till slut
1539 00:53:25,220 --> 00:53:26,400
för att vi ska nå
1540 00:53:26,400 --> 00:53:27,540
roten
1541 00:53:27,540 --> 00:53:28,120
på det här då
1542 00:53:28,120 --> 00:53:28,700
men man
1543 00:53:28,700 --> 00:53:29,320
man vet en hel del
1544 00:53:29,320 --> 00:53:29,860
en hel del i alla fall
1545 00:53:29,860 --> 00:53:31,020
20 megabyte som sagt
1546 00:53:31,020 --> 00:53:32,540
var modulär
1547 00:53:32,540 --> 00:53:33,340
20 moduler
1548 00:53:33,340 --> 00:53:35,380
skriven i lua
1549 00:53:35,380 --> 00:53:36,180
mm
1550 00:53:36,180 --> 00:53:37,100
coolt
1551 00:53:37,100 --> 00:53:38,300
och hårt
1552 00:53:38,300 --> 00:53:39,360
objektorienterad
1553 00:53:39,360 --> 00:53:40,420
med mycket C++
1554 00:53:40,420 --> 00:53:41,560
ja det är intressant det där
1555 00:53:41,560 --> 00:53:42,700
jag stötte på det där
1556 00:53:42,700 --> 00:53:43,560
när jag läste lite om
1557 00:53:43,560 --> 00:53:44,240
Ducu också
1558 00:53:44,240 --> 00:53:45,300
det här hade varit
1559 00:53:45,300 --> 00:53:46,000
en jävla häcka
1560 00:53:46,000 --> 00:53:46,500
att ta reda på
1561 00:53:46,500 --> 00:53:48,140
vad fan det här var skrivet i
1562 00:53:48,140 --> 00:53:50,020
var det lua där också eller?
1563 00:53:50,300 --> 00:53:50,580
nej
1564 00:53:50,580 --> 00:53:51,280
det var en av dem
1565 00:53:51,280 --> 00:53:52,180
de har kollat på lua
1566 00:53:52,180 --> 00:53:52,720
och lisp
1567 00:53:52,720 --> 00:53:53,080
och en massa
1568 00:53:53,080 --> 00:53:53,840
jävla konstiga grejer
1569 00:53:53,840 --> 00:53:55,060
så då kommer man fram till
1570 00:53:55,060 --> 00:53:55,980
att det är förmodligen
1571 00:53:55,980 --> 00:53:58,480
vad fan var det nu
1572 00:53:58,480 --> 00:53:59,160
objekt
1573 00:53:59,160 --> 00:54:00,720
objektorienterad
1574 00:54:00,720 --> 00:54:02,160
klassisk C va?
1575 00:54:02,160 --> 00:54:02,660
klassisk C ja
1576 00:54:02,660 --> 00:54:03,920
inte C++
1577 00:54:03,920 --> 00:54:04,400
utan objektorienterad
1578 00:54:04,400 --> 00:54:05,480
sen så har den kompilerats
1579 00:54:05,480 --> 00:54:06,020
genom
1580 00:54:06,020 --> 00:54:08,000
Visual Studio
1581 00:54:08,000 --> 00:54:08,580
någonting
1582 00:54:08,580 --> 00:54:09,420
okej
1583 00:54:09,420 --> 00:54:10,040
alltså såhär
1584 00:54:10,040 --> 00:54:11,780
sjukt specifikt
1585 00:54:11,780 --> 00:54:12,040
och konstigt
1586 00:54:12,040 --> 00:54:12,780
och lua där
1587 00:54:12,780 --> 00:54:13,640
det var ju
1588 00:54:13,640 --> 00:54:15,340
det var ju så jävla kul
1589 00:54:15,340 --> 00:54:16,620
de första artiklarna
1590 00:54:16,620 --> 00:54:17,640
när de skrev om det här
1591 00:54:17,640 --> 00:54:18,960
där det liksom var
1592 00:54:18,960 --> 00:54:20,460
stora tidningsartiklar
1593 00:54:20,460 --> 00:54:21,360
med typ texten
1594 00:54:21,360 --> 00:54:24,540
flame utvecklat
1595 00:54:24,540 --> 00:54:25,640
på samma sätt
1596 00:54:25,640 --> 00:54:26,780
som Angry Birds
1597 00:54:26,780 --> 00:54:28,060
hahaha
1598 00:54:28,060 --> 00:54:28,740
hahaha
1599 00:54:28,740 --> 00:54:29,140
hahaha
1600 00:54:29,140 --> 00:54:30,140
Självklart
1601 00:54:30,140 --> 00:54:33,760
jag vet inte riktigt
1602 00:54:33,760 --> 00:54:34,960
det var så jävla bra
1603 00:54:34,960 --> 00:54:35,460
liksom
1604 00:54:35,460 --> 00:54:36,280
kan det ha varit
1605 00:54:36,280 --> 00:54:37,340
Rovio som låg bakom
1606 00:54:37,340 --> 00:54:38,800
så jävla bra
1607 00:54:38,800 --> 00:54:40,420
tidningsrubrikssättare
1608 00:54:40,420 --> 00:54:41,920
alltså såhär
1609 00:54:41,920 --> 00:54:42,360
lua
1610 00:54:42,360 --> 00:54:43,800
det används ju för
1611 00:54:43,800 --> 00:54:44,300
väldigt mycket
1612 00:54:44,300 --> 00:54:45,220
hemmaautomation
1613 00:54:45,220 --> 00:54:46,460
alltså när du
1614 00:54:46,460 --> 00:54:47,600
när du gör scener
1615 00:54:47,600 --> 00:54:47,900
i
1616 00:54:47,900 --> 00:54:48,440
ja
1617 00:54:48,440 --> 00:54:50,400
C-Wave controllers
1618 00:54:50,400 --> 00:54:51,180
eller motsvarande
1619 00:54:51,180 --> 00:54:52,300
för med makro
1620 00:54:52,300 --> 00:54:52,700
och monkey
1621 00:54:52,700 --> 00:54:53,720
kör lua också
1622 00:54:53,720 --> 00:54:54,700
och om man vill
1623 00:54:54,700 --> 00:54:55,960
om man vill
1624 00:54:55,960 --> 00:54:57,540
liksom skriva ett makro
1625 00:54:57,540 --> 00:54:58,040
som gör
1626 00:54:58,040 --> 00:54:58,860
klickar och gujit
1627 00:54:58,860 --> 00:54:59,120
så måste man skriva
1628 00:54:59,120 --> 00:54:59,760
och det blir klickar själv
1629 00:54:59,760 --> 00:55:00,440
just det
1630 00:55:00,440 --> 00:55:01,300
just det
1631 00:55:01,300 --> 00:55:01,680
absolut
1632 00:55:01,680 --> 00:55:03,820
andra mystifikationer
1633 00:55:03,820 --> 00:55:04,100
kring
1634 00:55:04,100 --> 00:55:05,040
flame
1635 00:55:05,040 --> 00:55:05,940
som gör den lite speciell
1636 00:55:05,940 --> 00:55:06,660
det är att den bland annat
1637 00:55:06,660 --> 00:55:07,120
kör en
1638 00:55:07,120 --> 00:55:07,720
SQLite
1639 00:55:07,720 --> 00:55:08,720
databas
1640 00:55:08,720 --> 00:55:10,220
så den använder
1641 00:55:10,220 --> 00:55:11,220
ganska stor omfattning
1642 00:55:11,220 --> 00:55:12,080
för konfiguration
1643 00:55:12,080 --> 00:55:12,600
det var väldigt mycket
1644 00:55:12,600 --> 00:55:13,520
konfigurationsparameter
1645 00:55:13,520 --> 00:55:13,940
alltså ett eget
1646 00:55:13,940 --> 00:55:16,220
ett eget litet registry
1647 00:55:16,220 --> 00:55:17,200
helt enkelt
1648 00:55:17,200 --> 00:55:17,980
för det var väldigt
1649 00:55:17,980 --> 00:55:18,420
som sagt var
1650 00:55:18,420 --> 00:55:19,960
det är väldigt lite
1651 00:55:19,960 --> 00:55:20,940
en börs
1652 00:55:20,940 --> 00:55:21,540
hahaha
1653 00:55:21,540 --> 00:55:22,700
hahaha
1654 00:55:22,700 --> 00:55:24,060
ja gone
1655 00:55:24,060 --> 00:55:25,460
ehm
1656 00:55:25,460 --> 00:55:26,040
och
1657 00:55:26,040 --> 00:55:26,900
när det gäller
1658 00:55:26,900 --> 00:55:27,740
data storage
1659 00:55:27,740 --> 00:55:28,080
och sånt
1660 00:55:28,080 --> 00:55:28,780
så var det även
1661 00:55:28,780 --> 00:55:29,100
eh
1662 00:55:29,120 --> 00:55:30,660
mycket krypterade filer
1663 00:55:30,660 --> 00:55:31,180
som den använde
1664 00:55:31,180 --> 00:55:31,780
alltså den hade
1665 00:55:31,780 --> 00:55:32,460
den byggde sig
1666 00:55:32,460 --> 00:55:33,020
i en låtsas
1667 00:55:33,020 --> 00:55:33,660
exe
1668 00:55:33,660 --> 00:55:34,620
eller någon låtsas fil
1669 00:55:34,620 --> 00:55:34,940
eller någonting
1670 00:55:34,940 --> 00:55:35,520
och så använde den
1671 00:55:35,520 --> 00:55:36,240
som en datastore
1672 00:55:36,240 --> 00:55:36,940
bara egentligen
1673 00:55:36,940 --> 00:55:38,380
och krypto
1674 00:55:38,380 --> 00:55:39,000
gillar den mycket
1675 00:55:39,000 --> 00:55:40,580
fem olika kryptofunktioner
1676 00:55:40,580 --> 00:55:41,340
har den stöd för
1677 00:55:41,340 --> 00:55:42,020
eh
1678 00:55:42,020 --> 00:55:43,160
och ett par grejer
1679 00:55:43,160 --> 00:55:43,780
gjorde de
1680 00:55:43,780 --> 00:55:45,020
lekte de dubbelkrypto med
1681 00:55:45,020 --> 00:55:46,060
också bara för att skada till det
1682 00:55:46,060 --> 00:55:46,900
allt för att det då
1683 00:55:46,900 --> 00:55:47,740
skulle vara svårt
1684 00:55:47,740 --> 00:55:48,080
att
1685 00:55:48,080 --> 00:55:49,740
och i efterhand
1686 00:55:49,740 --> 00:55:50,220
liksom hitta
1687 00:55:50,220 --> 00:55:50,860
vad det var
1688 00:55:50,860 --> 00:55:51,900
för data som låg här
1689 00:55:51,900 --> 00:55:52,680
för det här
1690 00:55:52,680 --> 00:55:53,580
är precis som
1691 00:55:53,580 --> 00:55:54,040
Ducu
1692 00:55:54,040 --> 00:55:54,620
så är det en
1693 00:55:54,620 --> 00:55:55,800
information stealing
1694 00:55:55,800 --> 00:55:57,080
applikation då
1695 00:55:57,080 --> 00:55:58,140
det är det enda
1696 00:55:58,140 --> 00:55:58,460
den gör
1697 00:55:58,460 --> 00:55:58,920
menar vi inte
1698 00:55:58,920 --> 00:55:59,640
eh
1699 00:55:59,640 --> 00:56:01,000
fokus är Iran
1700 00:56:01,000 --> 00:56:01,580
återigen
1701 00:56:01,580 --> 00:56:02,600
eh
1702 00:56:02,600 --> 00:56:03,420
jag tror det var typ
1703 00:56:03,420 --> 00:56:04,980
65% ungefär
1704 00:56:04,980 --> 00:56:06,400
av infekterade
1705 00:56:06,400 --> 00:56:07,160
i Iran
1706 00:56:07,160 --> 00:56:07,700
eh
1707 00:56:07,700 --> 00:56:08,700
och nästan
1708 00:56:08,700 --> 00:56:09,820
alla andra är där omkring
1709 00:56:09,820 --> 00:56:10,420
fast det är
1710 00:56:10,420 --> 00:56:11,620
några uppe i Europa
1711 00:56:11,620 --> 00:56:12,720
och även några i Nordamerika
1712 00:56:12,720 --> 00:56:13,820
som har blivit infekterade
1713 00:56:13,820 --> 00:56:14,740
så det är
1714 00:56:14,740 --> 00:56:15,660
relativt stor spridning
1715 00:56:15,660 --> 00:56:16,560
ungefär tusen
1716 00:56:16,560 --> 00:56:17,520
eh
1717 00:56:17,520 --> 00:56:18,380
klienter tror de har
1718 00:56:18,380 --> 00:56:19,140
varit infekterade
1719 00:56:19,140 --> 00:56:21,180
eh
1720 00:56:21,180 --> 00:56:23,000
en intressant sak är att
1721 00:56:23,000 --> 00:56:24,600
inom timmar
1722 00:56:24,600 --> 00:56:25,320
från att
1723 00:56:25,320 --> 00:56:25,900
det här
1724 00:56:25,900 --> 00:56:26,380
eh
1725 00:56:26,380 --> 00:56:27,040
blev känt
1726 00:56:27,040 --> 00:56:27,360
att
1727 00:56:27,360 --> 00:56:27,920
Flame
1728 00:56:27,920 --> 00:56:28,180
var upptäckt
1729 00:56:28,460 --> 00:56:29,460
och
1730 00:56:29,460 --> 00:56:30,780
Kaspersky
1731 00:56:30,780 --> 00:56:31,640
och Crisis
1732 00:56:31,640 --> 00:56:32,500
var det även här då
1733 00:56:32,500 --> 00:56:33,600
tillsammans med
1734 00:56:33,600 --> 00:56:35,800
någon Iran-organisation
1735 00:56:35,800 --> 00:56:36,540
eh
1736 00:56:36,540 --> 00:56:37,300
alltså Irans
1737 00:56:37,300 --> 00:56:38,000
CERT tror jag
1738 00:56:38,000 --> 00:56:38,620
och så faktiskt
1739 00:56:38,620 --> 00:56:39,740
amerikanska CERT också
1740 00:56:39,740 --> 00:56:41,280
de gick ut samtidigt
1741 00:56:41,280 --> 00:56:41,580
eh
1742 00:56:41,580 --> 00:56:42,160
med pressmedlen
1743 00:56:42,160 --> 00:56:42,600
allihopa
1744 00:56:42,600 --> 00:56:44,420
och timmar efter det
1745 00:56:44,420 --> 00:56:45,060
så jo
1746 00:56:45,060 --> 00:56:46,080
så imploderade
1747 00:56:46,080 --> 00:56:47,540
hela Flame-infrastrukturen
1748 00:56:47,540 --> 00:56:49,520
alla command and control-serverna
1749 00:56:49,520 --> 00:56:50,480
ungefär 80 stycken
1750 00:56:50,480 --> 00:56:51,300
eh
1751 00:56:51,300 --> 00:56:52,060
wipedade sig själva
1752 00:56:52,060 --> 00:56:53,340
och alla klienter
1753 00:56:53,340 --> 00:56:54,080
wipedade sig själva
1754 00:56:54,080 --> 00:56:55,480
det gick ut ett kill-kommando
1755 00:56:55,480 --> 00:56:57,420
från command and control-serverna
1756 00:56:57,420 --> 00:56:58,440
som tog bort
1757 00:56:58,460 --> 00:56:59,360
alla spår av den
1758 00:56:59,360 --> 00:57:00,320
så att det de hittade
1759 00:57:00,320 --> 00:57:01,580
har ju varit forensiskt mycket
1760 00:57:01,580 --> 00:57:01,900
och
1761 00:57:01,900 --> 00:57:02,980
och några maskiner då
1762 00:57:02,980 --> 00:57:04,180
som inte har varit anslutna på nätet
1763 00:57:04,180 --> 00:57:04,640
och sånt
1764 00:57:04,640 --> 00:57:05,800
så de har haft ganska få
1765 00:57:05,800 --> 00:57:06,740
eh
1766 00:57:06,740 --> 00:57:08,020
exemplar utav malware
1767 00:57:08,020 --> 00:57:08,940
eh
1768 00:57:08,940 --> 00:57:10,180
och det är den som de har hittat
1769 00:57:10,180 --> 00:57:12,180
en command and control-server
1770 00:57:12,180 --> 00:57:12,700
som inte
1771 00:57:12,700 --> 00:57:13,640
som inte
1772 00:57:13,640 --> 00:57:14,840
blev delatad va
1773 00:57:14,840 --> 00:57:15,360
ja
1774 00:57:15,360 --> 00:57:15,740
jag vet inte
1775 00:57:15,740 --> 00:57:16,860
om det är just en
1776 00:57:16,860 --> 00:57:17,900
det kan nog vara flera till och med
1777 00:57:17,900 --> 00:57:18,720
de har hittat i efterhand
1778 00:57:18,720 --> 00:57:20,040
för att det var ju 80 stycken då
1779 00:57:20,040 --> 00:57:21,240
eh
1780 00:57:21,240 --> 00:57:22,040
så att de
1781 00:57:22,040 --> 00:57:22,380
ja
1782 00:57:22,380 --> 00:57:22,900
lite
1783 00:57:22,900 --> 00:57:24,800
men de har hittat command and control-server
1784 00:57:24,800 --> 00:57:25,260
där de har gjort
1785 00:57:25,260 --> 00:57:26,560
för de har kunnat göra analys på det
1786 00:57:26,560 --> 00:57:27,460
vi kommer till det också sen
1787 00:57:27,460 --> 00:57:28,460
eh
1788 00:57:28,460 --> 00:57:30,160
det första den här
1789 00:57:30,160 --> 00:57:30,780
killen gör
1790 00:57:30,780 --> 00:57:31,860
när den landar hos en
1791 00:57:31,860 --> 00:57:33,220
eh
1792 00:57:33,220 --> 00:57:33,640
eh
1793 00:57:33,640 --> 00:57:34,200
hos en host
1794 00:57:34,200 --> 00:57:35,860
det är att den undersöker miljön litegrann
1795 00:57:35,860 --> 00:57:36,860
eh
1796 00:57:36,860 --> 00:57:37,540
den kollar
1797 00:57:37,540 --> 00:57:38,460
framförallt
1798 00:57:38,460 --> 00:57:39,580
så kollar den om det finns några
1799 00:57:39,580 --> 00:57:40,960
ondskefulla antivirus
1800 00:57:40,960 --> 00:57:41,300
eh
1801 00:57:41,300 --> 00:57:42,060
system på plats
1802 00:57:42,060 --> 00:57:42,380
eller
1803 00:57:42,380 --> 00:57:43,600
några JDS-er
1804 00:57:43,600 --> 00:57:44,700
eller parental control
1805 00:57:44,700 --> 00:57:45,160
eller något där
1806 00:57:45,160 --> 00:57:45,900
för att
1807 00:57:45,900 --> 00:57:47,940
det lagrar den i sin konfigurationsdatabas
1808 00:57:47,940 --> 00:57:48,280
eh
1809 00:57:48,280 --> 00:57:49,560
och det är parametern som styr
1810 00:57:49,560 --> 00:57:51,140
vilka olika enheter
1811 00:57:51,140 --> 00:57:51,420
som kan
1812 00:57:51,420 --> 00:57:52,800
vilka moduler som kan köras
1813 00:57:52,800 --> 00:57:54,140
och egentligen hur den kan jobba vidare
1814 00:57:54,140 --> 00:57:54,660
därifrån då
1815 00:57:54,660 --> 00:57:55,780
och på
1816 00:57:55,780 --> 00:57:56,520
informations
1817 00:57:56,520 --> 00:57:58,440
skälningssidan
1818 00:57:58,440 --> 00:57:59,060
eh
1819 00:57:59,060 --> 00:58:00,600
så har den en massa tuffa features
1820 00:58:00,600 --> 00:58:01,700
givetvis
1821 00:58:01,700 --> 00:58:02,580
screen grabbers
1822 00:58:02,580 --> 00:58:03,300
eh
1823 00:58:03,300 --> 00:58:04,700
och keyboard loggers
1824 00:58:04,700 --> 00:58:06,120
den kan även aktivera
1825 00:58:06,120 --> 00:58:06,820
audio
1826 00:58:06,820 --> 00:58:07,500
och lyssna
1827 00:58:07,500 --> 00:58:08,880
vad som sägs i rummet
1828 00:58:08,880 --> 00:58:09,340
så att
1829 00:58:09,340 --> 00:58:10,220
återigen
1830 00:58:10,220 --> 00:58:10,980
hej Mossad
1831 00:58:10,980 --> 00:58:12,760
hej Jens
1832 00:58:12,760 --> 00:58:13,300
eh
1833 00:58:13,300 --> 00:58:14,140
Skype
1834 00:58:14,140 --> 00:58:15,220
jag tror inte de behöver
1835 00:58:15,220 --> 00:58:15,960
liksom
1836 00:58:15,960 --> 00:58:16,460
de kan
1837 00:58:16,460 --> 00:58:18,320
de kan prenumerera på podcasten
1838 00:58:18,320 --> 00:58:19,780
det vet vi att de gör allihopa
1839 00:58:19,780 --> 00:58:20,060
ja
1840 00:58:20,060 --> 00:58:20,800
eh
1841 00:58:20,800 --> 00:58:21,700
Skype
1842 00:58:21,700 --> 00:58:22,420
avlyssnar dem
1843 00:58:22,420 --> 00:58:23,000
eh
1844 00:58:23,000 --> 00:58:24,660
och de kan sniffa nätverkstrafik
1845 00:58:24,660 --> 00:58:25,160
eh
1846 00:58:25,160 --> 00:58:26,480
de har till och med en liten
1847 00:58:26,480 --> 00:58:27,720
bluetooth-modul
1848 00:58:27,720 --> 00:58:27,800
eh
1849 00:58:28,440 --> 00:58:29,380
som letar efter
1850 00:58:29,380 --> 00:58:30,160
bluetooth-enheter
1851 00:58:30,160 --> 00:58:30,920
i närheten
1852 00:58:30,920 --> 00:58:31,480
och försöker
1853 00:58:31,480 --> 00:58:32,540
harvesta kontakter
1854 00:58:32,540 --> 00:58:32,900
ifrån dem
1855 00:58:32,900 --> 00:58:33,560
och funkar inte det
1856 00:58:33,560 --> 00:58:34,120
så sätter den upp
1857 00:58:34,120 --> 00:58:35,260
en liten bluetooth-beacon
1858 00:58:35,260 --> 00:58:36,000
eh
1859 00:58:36,000 --> 00:58:36,880
och liksom
1860 00:58:36,880 --> 00:58:37,740
känna
1861 00:58:37,740 --> 00:58:38,920
hej är det någon som vill prata med mig
1862 00:58:38,920 --> 00:58:40,440
hej är det någon som vill prata med mig
1863 00:58:40,440 --> 00:58:41,080
det känns som någonting
1864 00:58:41,080 --> 00:58:42,160
som skulle vara rätt lätt att upptäcka
1865 00:58:42,160 --> 00:58:42,720
ja
1866 00:58:42,720 --> 00:58:43,580
eh
1867 00:58:43,580 --> 00:58:45,080
men allt det här är ju givetvis
1868 00:58:45,080 --> 00:58:45,800
då styrt ifrån
1869 00:58:45,800 --> 00:58:46,920
command and control-serverna
1870 00:58:46,920 --> 00:58:47,920
så att jag är inte säker på
1871 00:58:47,920 --> 00:58:49,280
hur mycket den gjorde autonomt
1872 00:58:49,280 --> 00:58:49,620
den här
1873 00:58:49,620 --> 00:58:50,980
är det därför min blåtan
1874 00:58:50,980 --> 00:58:51,780
alltid är igång
1875 00:58:51,780 --> 00:58:52,240
kan vara
1876 00:58:52,240 --> 00:58:52,840
kan vara
1877 00:58:52,840 --> 00:58:53,960
det är en ny feature
1878 00:58:53,960 --> 00:58:54,560
i iOS
1879 00:58:54,560 --> 00:58:55,600
Sverige hunduppdaterar
1880 00:58:55,600 --> 00:58:56,080
ja
1881 00:58:56,080 --> 00:58:57,940
jobbigt
1882 00:58:58,440 --> 00:58:59,560
positivt för batteritiden
1883 00:58:59,560 --> 00:59:00,180
mm
1884 00:59:00,180 --> 00:59:01,740
eh
1885 00:59:01,740 --> 00:59:02,860
när det kommer till spridning
1886 00:59:02,860 --> 00:59:03,700
eh
1887 00:59:03,700 --> 00:59:05,360
så är de fortfarande inte helt säkra
1888 00:59:05,360 --> 00:59:06,760
på hur första spridningen
1889 00:59:06,760 --> 00:59:08,300
alltså första infektionen skedde
1890 00:59:08,300 --> 00:59:09,480
eh
1891 00:59:09,480 --> 00:59:10,580
men den har ett par
1892 00:59:10,580 --> 00:59:11,540
tuffa funktioner
1893 00:59:11,540 --> 00:59:11,800
för
1894 00:59:11,800 --> 00:59:12,540
för spridning
1895 00:59:12,540 --> 00:59:13,100
bland annat
1896 00:59:13,100 --> 00:59:14,080
eh
1897 00:59:14,080 --> 00:59:15,320
printspoler-gigget
1898 00:59:15,320 --> 00:59:15,940
från Stuxnet
1899 00:59:15,940 --> 00:59:17,840
nästan en exakt kopia
1900 00:59:17,840 --> 00:59:18,440
utav den
1901 00:59:18,440 --> 00:59:19,360
eh
1902 00:59:19,360 --> 00:59:20,580
även en
1903 00:59:20,580 --> 00:59:21,400
eh
1904 00:59:21,400 --> 00:59:23,320
en länksårbarhet
1905 00:59:23,320 --> 00:59:24,260
som också vet fanns
1906 00:59:24,260 --> 00:59:25,060
det var en av de fyra
1907 00:59:25,060 --> 00:59:25,620
i Stuxnet
1908 00:59:25,620 --> 00:59:26,760
eh
1909 00:59:26,760 --> 00:59:27,860
sen har den givetvis
1910 00:59:27,860 --> 00:59:28,360
en klassisk
1911 00:59:28,360 --> 00:59:28,920
autorun
1912 00:59:28,920 --> 00:59:29,700
feature
1913 00:59:29,700 --> 00:59:30,300
eh
1914 00:59:30,300 --> 00:59:30,920
så den kan alltså
1915 00:59:30,920 --> 00:59:31,820
spridas via USB
1916 00:59:31,820 --> 00:59:33,040
eh
1917 00:59:33,040 --> 00:59:33,920
men den coolaste
1918 00:59:33,920 --> 00:59:34,780
spridningsfunktionen
1919 00:59:34,780 --> 00:59:35,120
är ändå
1920 00:59:35,120 --> 00:59:36,440
Windows Update-funktionen
1921 00:59:36,440 --> 00:59:37,800
eh
1922 00:59:37,800 --> 00:59:38,680
den kan ju
1923 00:59:38,680 --> 00:59:39,620
lyssna på nätet då
1924 00:59:39,620 --> 00:59:40,240
och den kan
1925 00:59:40,240 --> 00:59:40,780
dessutom
1926 00:59:40,780 --> 00:59:41,920
prata lite på nätet
1927 00:59:41,920 --> 00:59:42,540
den kan sätta upp
1928 00:59:42,540 --> 00:59:43,200
en egen
1929 00:59:43,200 --> 00:59:43,900
HTTP-server
1930 00:59:43,900 --> 00:59:44,500
Munch
1931 00:59:44,500 --> 00:59:45,000
tror jag det är
1932 00:59:45,000 --> 00:59:45,900
som är HTTP-servern
1933 00:59:45,900 --> 00:59:46,740
Snack
1934 00:59:46,740 --> 00:59:47,380
är en
1935 00:59:47,380 --> 00:59:48,060
raw
1936 00:59:48,060 --> 00:59:49,720
nät
1937 00:59:49,720 --> 00:59:50,600
socket
1938 00:59:50,600 --> 00:59:51,440
som lyssnar
1939 00:59:51,440 --> 00:59:51,620
alltså
1940 00:59:51,620 --> 00:59:52,300
i egentligen
1941 00:59:52,300 --> 00:59:53,180
promiscuous mode
1942 00:59:53,180 --> 00:59:54,980
på nätkortet
1943 00:59:54,980 --> 00:59:56,120
som lyssnar på all trafik
1944 00:59:56,120 --> 00:59:57,160
och
1945 00:59:57,160 --> 00:59:58,000
då lyssnar den
1946 00:59:58,000 --> 00:59:58,200
specifikt
1947 00:59:58,360 --> 00:59:59,560
efter ett par saker
1948 00:59:59,560 --> 01:00:00,220
eh
1949 01:00:00,220 --> 01:00:00,940
det jag kommer ihåg
1950 01:00:00,940 --> 01:00:01,800
är att den lyssnar
1951 01:00:01,800 --> 01:00:02,240
efter
1952 01:00:02,240 --> 01:00:04,360
WPAD-information
1953 01:00:04,360 --> 01:00:05,240
eh
1954 01:00:05,240 --> 01:00:05,560
det vill säga
1955 01:00:05,560 --> 01:00:06,280
det är Windows
1956 01:00:06,280 --> 01:00:06,620
sånt där
1957 01:00:06,620 --> 01:00:08,180
automat proxy detection
1958 01:00:08,180 --> 01:00:09,040
så att när det kommer
1959 01:00:09,040 --> 01:00:10,300
en maskin in på nätet
1960 01:00:10,300 --> 01:00:10,560
och
1961 01:00:10,560 --> 01:00:11,800
och ställer frågan
1962 01:00:11,800 --> 01:00:13,020
tjena vem är det som är proxy
1963 01:00:13,020 --> 01:00:14,220
så svarar givetvis
1964 01:00:14,220 --> 01:00:15,200
en infekterad host
1965 01:00:15,200 --> 01:00:15,520
det är jag
1966 01:00:15,520 --> 01:00:16,580
eh
1967 01:00:16,580 --> 01:00:17,280
och då kommer den
1968 01:00:17,280 --> 01:00:17,900
automatiskt bli
1969 01:00:17,900 --> 01:00:18,720
man in the middle
1970 01:00:18,720 --> 01:00:19,500
eh
1971 01:00:19,500 --> 01:00:21,440
maskin där
1972 01:00:21,440 --> 01:00:21,880
mm
1973 01:00:21,880 --> 01:00:23,400
och det den använder det till
1974 01:00:23,400 --> 01:00:23,840
det är
1975 01:00:23,840 --> 01:00:25,160
Windows Update då
1976 01:00:25,160 --> 01:00:26,040
eh
1977 01:00:26,040 --> 01:00:26,860
så att när
1978 01:00:26,860 --> 01:00:27,920
det är dags för maskinen
1979 01:00:27,920 --> 01:00:28,560
att uppdatera sig
1980 01:00:28,560 --> 01:00:28,940
så är
1981 01:00:28,940 --> 01:00:29,620
den här
1982 01:00:29,620 --> 01:00:30,780
infekterade hosten
1983 01:00:30,780 --> 01:00:31,740
är en Windows Update
1984 01:00:31,740 --> 01:00:32,680
eh
1985 01:00:32,680 --> 01:00:33,360
host givetvis
1986 01:00:33,360 --> 01:00:33,740
och
1987 01:00:33,740 --> 01:00:34,340
eh
1988 01:00:34,340 --> 01:00:35,240
det första den gör är ju
1989 01:00:35,240 --> 01:00:36,660
att servera en full body
1990 01:00:36,660 --> 01:00:37,680
utav hela
1991 01:00:37,680 --> 01:00:38,080
Flame
1992 01:00:38,080 --> 01:00:38,980
eh
1993 01:00:38,980 --> 01:00:39,640
prylen då
1994 01:00:39,640 --> 01:00:40,100
som
1995 01:00:40,100 --> 01:00:41,220
och innan vi går vidare här
1996 01:00:41,220 --> 01:00:42,320
vi måste inse
1997 01:00:42,320 --> 01:00:44,040
hur fruktansvärt coolt det här är
1998 01:00:44,040 --> 01:00:44,940
det här har ju varit
1999 01:00:44,940 --> 01:00:45,780
den heliga
2000 01:00:45,780 --> 01:00:46,460
graalen
2001 01:00:46,460 --> 01:00:47,160
för malware
2002 01:00:47,160 --> 01:00:48,100
eh
2003 01:00:48,100 --> 01:00:48,620
och så
2004 01:00:48,620 --> 01:00:50,020
det här är ju
2005 01:00:50,020 --> 01:00:51,180
när Windows
2006 01:00:51,180 --> 01:00:52,700
började autouppdatera
2007 01:00:52,700 --> 01:00:54,040
så var ju väldigt många rädda
2008 01:00:54,040 --> 01:00:54,400
och man
2009 01:00:54,400 --> 01:00:55,600
man diskuterade
2010 01:00:55,600 --> 01:00:56,260
är det rätt
2011 01:00:56,260 --> 01:00:57,100
att autoupdate
2012 01:00:57,100 --> 01:00:57,900
ökar man inte
2013 01:00:57,900 --> 01:00:58,560
risken och så
2014 01:00:58,560 --> 01:00:58,860
men
2015 01:00:58,860 --> 01:00:59,800
nej
2016 01:00:59,800 --> 01:01:00,840
eh
2017 01:01:00,840 --> 01:01:01,660
Windows Update
2018 01:01:01,660 --> 01:01:02,820
är så säker
2019 01:01:02,820 --> 01:01:03,840
så att vi vågar ha
2020 01:01:03,840 --> 01:01:04,520
autoupdate
2021 01:01:04,520 --> 01:01:05,340
hela världen
2022 01:01:05,340 --> 01:01:05,940
kör autoupdate
2023 01:01:05,940 --> 01:01:08,260
den är ju så
2024 01:01:08,260 --> 01:01:08,860
vältestad
2025 01:01:08,860 --> 01:01:09,820
det är så många som tittar på den
2026 01:01:09,820 --> 01:01:10,860
så att det går inte
2027 01:01:10,860 --> 01:01:11,620
att ha en sårbarhet
2028 01:01:11,620 --> 01:01:12,720
det här är
2029 01:01:12,720 --> 01:01:15,720
du kan inte bli
2030 01:01:15,720 --> 01:01:16,400
coolare
2031 01:01:16,400 --> 01:01:16,940
på
2032 01:01:16,940 --> 01:01:17,560
att göra
2033 01:01:17,560 --> 01:01:18,420
malwareattacker
2034 01:01:18,420 --> 01:01:19,320
än att du
2035 01:01:19,320 --> 01:01:20,200
har ägt
2036 01:01:20,200 --> 01:01:21,780
Windows Update funktionen
2037 01:01:21,780 --> 01:01:22,940
för det är förmodligen
2038 01:01:22,940 --> 01:01:23,920
den mest
2039 01:01:23,920 --> 01:01:25,180
testade
2040 01:01:25,180 --> 01:01:25,760
och den mest
2041 01:01:25,760 --> 01:01:26,820
utvärderade
2042 01:01:26,820 --> 01:01:27,880
och den mest
2043 01:01:27,900 --> 01:01:29,540
paranoidhanterade
2044 01:01:29,540 --> 01:01:30,080
tjänsten
2045 01:01:30,080 --> 01:01:30,680
i hela
2046 01:01:30,680 --> 01:01:32,460
det här universumet
2047 01:01:32,460 --> 01:01:32,760
faktiskt
2048 01:01:32,760 --> 01:01:33,340
så man kan gå in på
2049 01:01:33,340 --> 01:01:33,720
Microsoft
2050 01:01:33,720 --> 01:01:34,520
och göra ändringar
2051 01:01:34,520 --> 01:01:34,840
i den
2052 01:01:34,840 --> 01:01:36,940
jag tror
2053 01:01:36,940 --> 01:01:37,980
du kanske kan det här
2054 01:01:37,980 --> 01:01:38,420
bättre Peter
2055 01:01:38,420 --> 01:01:39,480
men jag vet att
2056 01:01:39,480 --> 01:01:41,040
pre
2057 01:01:41,040 --> 01:01:42,200
Windows Vista
2058 01:01:42,200 --> 01:01:43,480
det vill säga
2059 01:01:43,480 --> 01:01:44,820
XP
2060 01:01:44,820 --> 01:01:45,940
och tidigare
2061 01:01:45,940 --> 01:01:47,520
så var det
2062 01:01:47,520 --> 01:01:48,120
lättare
2063 01:01:48,120 --> 01:01:48,800
att lura
2064 01:01:48,800 --> 01:01:49,480
Windows Update
2065 01:01:49,480 --> 01:01:51,220
nu är det lättare
2066 01:01:51,220 --> 01:01:52,300
att lura Java Update
2067 01:01:52,300 --> 01:01:53,720
för att
2068 01:01:53,720 --> 01:01:55,140
efter
2069 01:01:55,140 --> 01:01:55,820
Windows Vista
2070 01:01:55,820 --> 01:01:56,640
det vill säga
2071 01:01:56,640 --> 01:01:57,060
Windows Vista
2072 01:01:57,060 --> 01:01:57,840
och Windows 7
2073 01:01:57,840 --> 01:01:59,800
i det här fallet
2074 01:01:59,800 --> 01:02:00,920
så behövdes
2075 01:02:00,920 --> 01:02:02,520
att du signerade
2076 01:02:02,520 --> 01:02:03,180
de här paketen
2077 01:02:03,180 --> 01:02:05,320
så därför har
2078 01:02:05,320 --> 01:02:06,260
en av de coolaste
2079 01:02:06,260 --> 01:02:06,740
grejerna med
2080 01:02:06,740 --> 01:02:07,360
hela Flame
2081 01:02:07,360 --> 01:02:07,740
det är ju att
2082 01:02:07,740 --> 01:02:08,340
de har gjort
2083 01:02:08,340 --> 01:02:09,240
en MD5
2084 01:02:09,240 --> 01:02:10,940
collision attack
2085 01:02:10,940 --> 01:02:12,060
det vill säga
2086 01:02:12,060 --> 01:02:12,680
att de har
2087 01:02:12,680 --> 01:02:14,080
byggt
2088 01:02:14,080 --> 01:02:15,000
ett certifikat
2089 01:02:15,000 --> 01:02:15,780
som har samma
2090 01:02:15,780 --> 01:02:17,000
MD5 hash
2091 01:02:17,000 --> 01:02:18,200
som det riktiga
2092 01:02:18,200 --> 01:02:18,780
Microsoft
2093 01:02:18,780 --> 01:02:19,940
certifikatet
2094 01:02:19,940 --> 01:02:21,960
och det är
2095 01:02:21,960 --> 01:02:22,220
en
2096 01:02:22,220 --> 01:02:23,780
mycket svår
2097 01:02:23,780 --> 01:02:24,320
attack att göra
2098 01:02:24,320 --> 01:02:25,420
det fanns
2099 01:02:25,420 --> 01:02:26,720
proof of concept
2100 01:02:26,720 --> 01:02:27,080
på det här
2101 01:02:27,080 --> 01:02:27,480
från 2008
2102 01:02:27,480 --> 01:02:27,660
och det är
2103 01:02:27,660 --> 01:02:29,980
att en forskarlag
2104 01:02:29,980 --> 01:02:30,360
har visat
2105 01:02:30,360 --> 01:02:30,620
att det här
2106 01:02:30,620 --> 01:02:31,120
går att göra
2107 01:02:31,120 --> 01:02:32,880
men den här
2108 01:02:32,880 --> 01:02:33,380
attacken
2109 01:02:33,380 --> 01:02:34,060
som de har gjort
2110 01:02:34,060 --> 01:02:35,460
i Flame-viruset
2111 01:02:35,460 --> 01:02:36,680
är inte samma attack
2112 01:02:36,680 --> 01:02:37,880
det är en liknande attack
2113 01:02:37,880 --> 01:02:38,680
men det är inte
2114 01:02:38,680 --> 01:02:39,620
samma matematik
2115 01:02:39,620 --> 01:02:40,040
bakom
2116 01:02:40,040 --> 01:02:40,700
de har väl utgått
2117 01:02:40,700 --> 01:02:41,660
från ungefär samma teori
2118 01:02:41,660 --> 01:02:42,340
men kommit fram till
2119 01:02:42,340 --> 01:02:43,680
ett annat slutresultat
2120 01:02:43,680 --> 01:02:44,060
kan man säga
2121 01:02:44,060 --> 01:02:46,600
och det är ganska
2122 01:02:46,600 --> 01:02:47,020
intressant
2123 01:02:47,020 --> 01:02:47,440
att de inte har
2124 01:02:47,440 --> 01:02:48,040
återanvänt
2125 01:02:48,040 --> 01:02:49,060
2008-attacken
2126 01:02:49,060 --> 01:02:50,420
det antyder i viss mån
2127 01:02:50,420 --> 01:02:51,080
på att utvecklingen
2128 01:02:51,080 --> 01:02:51,600
av den här
2129 01:02:51,600 --> 01:02:52,520
MD5-kollisionen
2130 01:02:52,520 --> 01:02:53,260
skedde parallellt
2131 01:02:53,260 --> 01:02:54,120
eller ungefär samtidigt
2132 01:02:54,120 --> 01:02:55,080
eller kanske mer tidigare
2133 01:02:55,080 --> 01:02:55,720
än 2008
2134 01:02:55,720 --> 01:02:57,100
vilket faktiskt ligger
2135 01:02:57,100 --> 01:02:57,620
i linje med
2136 01:02:57,660 --> 01:02:58,400
när man tror
2137 01:02:58,400 --> 01:02:59,280
att den här är utvecklad
2138 01:02:59,280 --> 01:02:59,760
för man tror att
2139 01:02:59,760 --> 01:03:00,800
den är definitivt
2140 01:03:00,800 --> 01:03:02,220
utvecklad före 2008
2141 01:03:02,220 --> 01:03:03,680
sen om det är 2006
2142 01:03:03,680 --> 01:03:04,280
eller 2007
2143 01:03:04,280 --> 01:03:04,980
det är då det delar
2144 01:03:04,980 --> 01:03:05,440
i meningen om
2145 01:03:05,440 --> 01:03:06,280
det finns olika
2146 01:03:06,280 --> 01:03:08,120
datumstämplar
2147 01:03:08,120 --> 01:03:08,880
på olika ställen
2148 01:03:08,880 --> 01:03:10,460
av de de väljer
2149 01:03:10,460 --> 01:03:10,840
att rita på
2150 01:03:10,840 --> 01:03:11,520
det finns ett par
2151 01:03:11,520 --> 01:03:12,740
från 1994 också
2152 01:03:12,740 --> 01:03:13,400
men den har de valt
2153 01:03:13,400 --> 01:03:14,360
att inte tro på
2154 01:03:14,360 --> 01:03:16,740
om man ska vara
2155 01:03:16,740 --> 01:03:18,760
klinisk och tråkig
2156 01:03:18,760 --> 01:03:19,380
så är det ju så här
2157 01:03:19,380 --> 01:03:19,620
att
2158 01:03:19,620 --> 01:03:22,080
originalcertifikatet
2159 01:03:22,080 --> 01:03:22,280
alltså
2160 01:03:22,280 --> 01:03:23,720
de har
2161 01:03:23,720 --> 01:03:25,360
anslutit
2162 01:03:25,360 --> 01:03:25,860
mot
2163 01:03:25,860 --> 01:03:27,480
kliniska
2164 01:03:27,660 --> 01:03:29,320
den Microsoft-server
2165 01:03:29,320 --> 01:03:30,460
som ger ut
2166 01:03:30,460 --> 01:03:32,460
Windows-terminal-serverlicenser
2167 01:03:32,460 --> 01:03:35,240
en Windows-terminal-serverlicens
2168 01:03:35,240 --> 01:03:35,980
är i praktiken
2169 01:03:35,980 --> 01:03:36,820
ett certifikat
2170 01:03:36,820 --> 01:03:40,160
då skickar det in
2171 01:03:40,160 --> 01:03:40,720
ett så kallat
2172 01:03:40,720 --> 01:03:42,940
Certificate Signing Request
2173 01:03:42,940 --> 01:03:44,240
där man lämnar över
2174 01:03:44,240 --> 01:03:45,740
mallen
2175 01:03:45,740 --> 01:03:46,860
man har ett nästan
2176 01:03:46,860 --> 01:03:48,120
helt färdigt certifikat
2177 01:03:48,120 --> 01:03:49,360
som bara ska stämplas
2178 01:03:49,360 --> 01:03:49,980
med en
2179 01:03:49,980 --> 01:03:50,960
signering
2180 01:03:50,960 --> 01:03:52,320
utav certifikatsutgivaren
2181 01:03:52,320 --> 01:03:53,240
och då tittar
2182 01:03:53,240 --> 01:03:54,140
Microsoft-personalen
2183 01:03:54,140 --> 01:03:55,240
ja men det här
2184 01:03:55,240 --> 01:03:56,240
är ett okej
2185 01:03:56,240 --> 01:03:57,240
ett okej
2186 01:03:57,660 --> 01:03:58,740
i
2187 01:03:58,740 --> 01:04:02,240
terminal-serverlicensförfrågan
2188 01:04:02,240 --> 01:04:03,960
visstämplen okej
2189 01:04:03,960 --> 01:04:05,820
men innan man har skickat iväg
2190 01:04:05,820 --> 01:04:06,200
den här
2191 01:04:06,200 --> 01:04:06,820
så har man lagt ner
2192 01:04:06,820 --> 01:04:09,160
ett jättearbete
2193 01:04:09,160 --> 01:04:10,420
och hittat ett par
2194 01:04:10,420 --> 01:04:12,320
där den ena
2195 01:04:12,320 --> 01:04:13,120
tvillingen
2196 01:04:13,120 --> 01:04:14,420
är
2197 01:04:14,420 --> 01:04:16,860
Windows-terminal-serverlicens
2198 01:04:16,860 --> 01:04:18,320
och den andra tvillingen
2199 01:04:18,320 --> 01:04:21,320
är
2200 01:04:21,320 --> 01:04:22,820
ett helt
2201 01:04:22,820 --> 01:04:24,360
restrikterat certifikat
2202 01:04:24,360 --> 01:04:24,780
som får göra
2203 01:04:24,780 --> 01:04:25,620
vad som helst
2204 01:04:25,620 --> 01:04:27,360
i Windows-miljön
2205 01:04:27,660 --> 01:04:31,420
och det tyder på att man har haft
2206 01:04:31,420 --> 01:04:33,320
dels tillgång till
2207 01:04:33,320 --> 01:04:35,120
hyfsat mycket tid
2208 01:04:35,120 --> 01:04:36,160
hos superdatorer
2209 01:04:36,160 --> 01:04:36,920
jag skulle säga att det är
2210 01:04:36,920 --> 01:04:38,360
väldigt mycket processortid där
2211 01:04:38,360 --> 01:04:39,140
yes
2212 01:04:39,140 --> 01:04:40,820
och det kräver
2213 01:04:40,820 --> 01:04:42,620
att du har haft tillgång till
2214 01:04:42,620 --> 01:04:44,780
forskare som har kunnat ta fram
2215 01:04:44,780 --> 01:04:45,580
den här attacken
2216 01:04:45,580 --> 01:04:47,320
för det är en väldigt märklig attack
2217 01:04:47,320 --> 01:04:47,820
som är
2218 01:04:47,820 --> 01:04:48,840
det är mycket
2219 01:04:48,840 --> 01:04:50,500
det är mycket huvudarbete
2220 01:04:50,500 --> 01:04:51,060
samtidigt
2221 01:04:51,060 --> 01:04:51,540
så jag vet att
2222 01:04:51,540 --> 01:04:52,080
minst när de
2223 01:04:52,080 --> 01:04:53,700
de civila attackerna
2224 01:04:53,700 --> 01:04:54,760
som har kommit långt
2225 01:04:54,760 --> 01:04:55,720
då har man ju suttit och
2226 01:04:55,720 --> 01:04:57,440
grejat i gujen
2227 01:04:57,440 --> 01:04:57,640
och så har man ju suttit och
2228 01:04:57,660 --> 01:04:59,620
liksom experimentellt
2229 01:04:59,620 --> 01:05:00,820
testat sig fram
2230 01:05:00,820 --> 01:05:01,480
av liksom
2231 01:05:01,480 --> 01:05:03,400
de som är smarta
2232 01:05:03,400 --> 01:05:03,980
och förstår hur
2233 01:05:03,980 --> 01:05:05,560
hash-algoritmer verkligen funkar
2234 01:05:05,560 --> 01:05:06,740
och suttit och lekt
2235 01:05:06,740 --> 01:05:07,820
ja
2236 01:05:07,820 --> 01:05:10,320
de har suttit och forskat fram
2237 01:05:10,320 --> 01:05:11,440
attacker
2238 01:05:11,440 --> 01:05:12,340
som gör det här
2239 01:05:12,340 --> 01:05:12,940
liksom såhär
2240 01:05:12,940 --> 01:05:14,140
vad är vaken i den här
2241 01:05:14,140 --> 01:05:15,680
men alltså
2242 01:05:15,680 --> 01:05:16,720
de här så kallade
2243 01:05:16,720 --> 01:05:17,780
boomerang-attackerna
2244 01:05:17,780 --> 01:05:18,220
som man har
2245 01:05:18,220 --> 01:05:19,620
när man hittar dem här
2246 01:05:19,620 --> 01:05:20,800
de är
2247 01:05:20,800 --> 01:05:22,300
de är alltså på den nivån
2248 01:05:22,300 --> 01:05:22,740
att
2249 01:05:22,740 --> 01:05:25,800
man kan inte helt
2250 01:05:25,800 --> 01:05:27,340
det känns inte helt
2251 01:05:27,340 --> 01:05:27,440
vetenskapligt
2252 01:05:27,440 --> 01:05:28,800
när man läser om
2253 01:05:28,800 --> 01:05:29,840
hur de kommer fram till dem
2254 01:05:29,840 --> 01:05:30,040
utan
2255 01:05:30,040 --> 01:05:32,000
det är nästan
2256 01:05:32,000 --> 01:05:33,200
det är ett intellektuellt
2257 01:05:33,200 --> 01:05:34,460
konstverk bakom dem
2258 01:05:34,460 --> 01:05:35,160
det är inte såhär
2259 01:05:35,160 --> 01:05:37,600
man löste en matematisk formel
2260 01:05:37,600 --> 01:05:38,220
utan såhär
2261 01:05:38,220 --> 01:05:40,560
den första som kom hyfsat långt
2262 01:05:40,560 --> 01:05:41,440
på sån här
2263 01:05:41,440 --> 01:05:42,500
boomerang-attacken
2264 01:05:42,500 --> 01:05:43,060
och hash-grejer
2265 01:05:43,060 --> 01:05:44,500
så satt det ett guje
2266 01:05:44,500 --> 01:05:45,560
de hade javascript
2267 01:05:45,560 --> 01:05:46,460
och så bara satt där
2268 01:05:46,460 --> 01:05:47,160
och var smarta
2269 01:05:47,160 --> 01:05:49,100
så kastade de en boomerang
2270 01:05:49,100 --> 01:05:50,080
såg hur långt den kom
2271 01:05:50,080 --> 01:05:51,080
och så för ner dem lite
2272 01:05:51,080 --> 01:05:52,200
och så ändrade de runt lite
2273 01:05:52,200 --> 01:05:53,900
och så kastade de en ny boomerang
2274 01:05:53,900 --> 01:05:54,740
och såg hur långt den kom
2275 01:05:54,740 --> 01:05:55,000
liksom
2276 01:05:55,000 --> 01:05:55,760
så att
2277 01:05:55,760 --> 01:05:56,220
det
2278 01:05:56,220 --> 01:05:57,300
det är
2279 01:05:57,300 --> 01:05:59,360
du har haft riktigt smarta killar
2280 01:05:59,360 --> 01:06:00,100
som har gjort så att
2281 01:06:00,100 --> 01:06:00,920
som har liksom såhär
2282 01:06:00,920 --> 01:06:01,900
men det
2283 01:06:01,900 --> 01:06:02,980
det ska väl inte funka
2284 01:06:02,980 --> 01:06:03,880
att sitta och klicka runt
2285 01:06:03,880 --> 01:06:04,400
ett guje
2286 01:06:04,400 --> 01:06:05,620
om man har
2287 01:06:05,620 --> 01:06:08,360
smarta killar
2288 01:06:08,360 --> 01:06:09,320
eller tjejer
2289 01:06:09,320 --> 01:06:10,200
eller tjejer
2290 01:06:10,200 --> 01:06:11,480
som kan krypto
2291 01:06:11,480 --> 01:06:12,840
på väldigt hög nivå
2292 01:06:12,840 --> 01:06:14,900
och sen som dessutom
2293 01:06:14,900 --> 01:06:16,300
har tillgång till superdatorer
2294 01:06:16,300 --> 01:06:20,280
och för lite fritid
2295 01:06:20,280 --> 01:06:22,140
du har ett gäng som kan skriva
2296 01:06:22,140 --> 01:06:24,060
attack-kod och sådär
2297 01:06:24,060 --> 01:06:25,660
det är som sagt
2298 01:06:25,660 --> 01:06:26,980
det är liksom
2299 01:06:27,300 --> 01:06:27,960
det är inte
2300 01:06:27,960 --> 01:06:28,520
det är inte anonimus
2301 01:06:28,520 --> 01:06:31,540
det är en utav killarna
2302 01:06:31,540 --> 01:06:33,560
som har gjort den här
2303 01:06:33,560 --> 01:06:34,560
den publika
2304 01:06:34,560 --> 01:06:36,880
md5-kollision-attacken då
2305 01:06:36,880 --> 01:06:37,060
eller
2306 01:06:37,060 --> 01:06:38,820
visat på en sårbarhet här
2307 01:06:38,820 --> 01:06:40,740
han tittade på
2308 01:06:40,740 --> 01:06:42,180
den här andra attacken
2309 01:06:42,180 --> 01:06:43,220
som var deal i flame då
2310 01:06:43,220 --> 01:06:43,980
och konstaterade att
2311 01:06:43,980 --> 01:06:44,360
det här är
2312 01:06:44,360 --> 01:06:46,080
world-class cryptographers
2313 01:06:46,080 --> 01:06:47,380
så det är ju inte
2314 01:06:47,380 --> 01:06:48,640
Göran på bänken liksom
2315 01:06:48,640 --> 01:06:49,240
utan det där
2316 01:06:49,240 --> 01:06:50,920
det här är
2317 01:06:50,920 --> 01:06:53,280
det är Peter Magnusson-klass
2318 01:06:53,280 --> 01:06:54,100
ja
2319 01:06:54,100 --> 01:06:55,300
nej
2320 01:06:55,300 --> 01:06:57,200
Peter Magnusson gör det inte
2321 01:06:57,200 --> 01:06:58,480
i egna boomerang-attacker
2322 01:06:58,480 --> 01:06:59,520
Juppe Strömbergsson-klass
2323 01:06:59,520 --> 01:07:00,380
ja, jag trodde
2324 01:07:00,380 --> 01:07:01,500
det var det du gjorde på helgerna
2325 01:07:01,500 --> 01:07:03,940
officiellt sett inte
2326 01:07:03,940 --> 01:07:07,280
fan, boomerang
2327 01:07:07,280 --> 01:07:08,020
det blir ännu mer
2328 01:07:08,020 --> 01:07:09,620
Rovio och Angry Birds här
2329 01:07:09,620 --> 01:07:10,680
ja, det ni hör
2330 01:07:10,680 --> 01:07:12,600
det är ju helt otydligt
2331 01:07:12,600 --> 01:07:14,400
det är bara jävla arga
2332 01:07:14,400 --> 01:07:15,440
fiskmåsarna
2333 01:07:15,440 --> 01:07:16,040
jag trodde såhär
2334 01:07:16,040 --> 01:07:17,960
de fick så jävla mycket pengar
2335 01:07:17,960 --> 01:07:18,700
för Angry Birds
2336 01:07:18,700 --> 01:07:18,920
så de bara
2337 01:07:18,920 --> 01:07:19,700
okej, vad ska vi göra nu
2338 01:07:19,700 --> 01:07:20,560
vi bygger flame
2339 01:07:20,560 --> 01:07:22,600
let’s be evil
2340 01:07:22,600 --> 01:07:23,500
nej men
2341 01:07:23,500 --> 01:07:25,060
de sitter ju där
2342 01:07:25,060 --> 01:07:26,400
de sitter ju där liksom
2343 01:07:26,400 --> 01:07:27,200
såhär och funderar
2344 01:07:27,200 --> 01:07:27,680
på liksom
2345 01:07:27,680 --> 01:07:28,800
vilken forskare
2346 01:07:28,800 --> 01:07:29,820
ska vi höja ihjäl idag
2347 01:07:29,820 --> 01:07:30,760
så sitter de och spelar
2348 01:07:30,760 --> 01:07:31,200
det här spelet
2349 01:07:31,200 --> 01:07:32,320
och de inser det
2350 01:07:32,320 --> 01:07:33,800
alltså de som har gjort
2351 01:07:33,800 --> 01:07:35,040
det här jävla irriterande spelet
2352 01:07:35,040 --> 01:07:35,720
de måste ju vara
2353 01:07:35,720 --> 01:07:37,200
hur smarta som helst
2354 01:07:37,200 --> 01:07:38,560
och sen liksom såhär
2355 01:07:38,560 --> 01:07:39,500
så helt plötsligt liksom
2356 01:07:39,500 --> 01:07:39,900
så bara
2357 01:07:39,900 --> 01:07:40,640
okej men
2358 01:07:40,640 --> 01:07:42,240
den enda lösningen
2359 01:07:42,240 --> 01:07:43,360
på hur vi ska genomföra
2360 01:07:43,360 --> 01:07:45,520
våra plan för global ondska
2361 01:07:45,520 --> 01:07:46,260
det är ju liksom att
2362 01:07:46,260 --> 01:07:47,520
vi hyr in
2363 01:07:47,520 --> 01:07:49,020
de här Angry Birds-grivarna
2364 01:07:49,020 --> 01:07:49,860
och det är liksom
2365 01:07:49,860 --> 01:07:51,980
och sen ser vi nästa
2366 01:07:51,980 --> 01:07:52,540
sån här steg
2367 01:07:52,540 --> 01:07:53,440
i den här utvecklingen
2368 01:07:53,440 --> 01:07:55,160
det går asbra
2369 01:07:55,160 --> 01:07:55,740
för den här jävla
2370 01:07:55,740 --> 01:07:56,560
Flappy Birds
2371 01:07:56,560 --> 01:08:00,980
vilka människor
2372 01:08:00,980 --> 01:08:01,580
har den här
2373 01:08:01,580 --> 01:08:02,220
Flappy Birds
2374 01:08:02,220 --> 01:08:04,940
men det var därför
2375 01:08:04,940 --> 01:08:05,840
han drog tillbaka den
2376 01:08:05,840 --> 01:08:06,140
antagligen
2377 01:08:06,140 --> 01:08:07,200
han ville inte bli
2378 01:08:07,200 --> 01:08:08,160
exploitskrivare
2379 01:08:08,160 --> 01:08:10,300
han fick ju
2380 01:08:10,300 --> 01:08:12,340
i alla fall
2381 01:08:12,340 --> 01:08:13,820
kombon med de här
2382 01:08:13,820 --> 01:08:14,400
exploiten
2383 01:08:14,400 --> 01:08:15,180
och Windows Update
2384 01:08:15,180 --> 01:08:15,760
gjorde att
2385 01:08:15,760 --> 01:08:17,540
typ fullpatchade
2386 01:08:17,540 --> 01:08:18,540
Windows 7-server
2387 01:08:18,540 --> 01:08:19,160
som var det hetaste
2388 01:08:19,160 --> 01:08:20,000
man kunde ha på den tiden
2389 01:08:20,000 --> 01:08:22,220
de gick på nöten
2390 01:08:22,220 --> 01:08:22,580
på den här
2391 01:08:22,580 --> 01:08:23,160
Windows Update
2392 01:08:23,160 --> 01:08:24,040
lurerade de flesta då
2393 01:08:24,040 --> 01:08:26,320
Windows 8
2394 01:08:26,320 --> 01:08:26,540
det var det
2395 01:08:26,560 --> 01:08:28,000
var inte sårbart
2396 01:08:28,000 --> 01:08:28,620
och inte heller
2397 01:08:28,620 --> 01:08:29,520
64-bitars
2398 01:08:29,520 --> 01:08:30,820
operativ system
2399 01:08:30,820 --> 01:08:32,380
varför var de inte sårbara?
2400 01:08:32,520 --> 01:08:33,180
vet inte
2401 01:08:33,180 --> 01:08:34,160
because of reasons
2402 01:08:34,160 --> 01:08:34,580
ja
2403 01:08:34,580 --> 01:08:35,520
stuffs
2404 01:08:35,520 --> 01:08:37,660
made that not happen
2405 01:08:37,660 --> 01:08:39,840
men var det alltså
2406 01:08:39,840 --> 01:08:41,040
att de inte hade
2407 01:08:41,040 --> 01:08:42,920
var det ingen payload
2408 01:08:42,920 --> 01:08:43,380
för dem
2409 01:08:43,380 --> 01:08:44,400
eller var det att de gjorde
2410 01:08:44,400 --> 01:08:45,700
någonting säkerhetsmässigt
2411 01:08:45,700 --> 01:08:46,240
annorlunda
2412 01:08:46,240 --> 01:08:47,220
vad är det i orden
2413 01:08:47,220 --> 01:08:48,080
jag vet inte
2414 01:08:48,080 --> 01:08:48,820
som du inte förstår
2415 01:08:48,820 --> 01:08:50,340
okej
2416 01:08:50,340 --> 01:08:51,120
vi lämnar det i ämnet
2417 01:08:51,120 --> 01:08:53,660
jag såg att
2418 01:08:53,660 --> 01:08:54,960
Windows 8
2419 01:08:54,960 --> 01:08:55,700
och 64-bitars
2420 01:08:55,700 --> 01:08:56,320
inte var sårbara
2421 01:08:56,320 --> 01:08:57,160
och sen så valde jag
2422 01:08:57,160 --> 01:08:58,520
att inte plöja djupare i det
2423 01:08:58,520 --> 01:08:59,140
om man installerar
2424 01:08:59,140 --> 01:09:00,480
två 32-bitarsystem
2425 01:09:00,480 --> 01:09:01,080
är det så
2426 01:09:01,080 --> 01:09:01,880
64-bitarsystem
2427 01:09:01,880 --> 01:09:02,380
japp
2428 01:09:02,380 --> 01:09:03,820
garanterat
2429 01:09:03,820 --> 01:09:06,200
command and control
2430 01:09:06,200 --> 01:09:07,060
nämnde jag förut
2431 01:09:07,060 --> 01:09:08,080
att det var typ
2432 01:09:08,080 --> 01:09:08,740
80 stycken
2433 01:09:08,740 --> 01:09:10,520
det finns mer roliga saker
2434 01:09:10,520 --> 01:09:11,380
med command and control
2435 01:09:11,380 --> 01:09:12,680
som vi måste veta
2436 01:09:12,680 --> 01:09:13,420
för det första
2437 01:09:13,420 --> 01:09:14,040
så har de bytt
2438 01:09:14,040 --> 01:09:15,140
från CentOS
2439 01:09:15,140 --> 01:09:16,180
till Ubuntu
2440 01:09:16,180 --> 01:09:17,500
alla 80
2441 01:09:17,500 --> 01:09:18,240
var Ubuntu
2442 01:09:18,240 --> 01:09:20,760
men de var CentOS innan
2443 01:09:20,760 --> 01:09:23,880
men de var CentOS innan
2444 01:09:23,880 --> 01:09:24,340
nej
2445 01:09:24,340 --> 01:09:25,140
alltså det var inte så
2446 01:09:25,140 --> 01:09:26,180
att de var migrerade över
2447 01:09:26,180 --> 01:09:26,760
men i
2448 01:09:26,760 --> 01:09:28,080
Doku och Stuxnet
2449 01:09:28,080 --> 01:09:29,100
så var det ju CentOS primärt
2450 01:09:29,100 --> 01:09:30,400
men nu är det då
2451 01:09:30,400 --> 01:09:31,540
Ubuntu
2452 01:09:31,540 --> 01:09:32,900
för hela pengen
2453 01:09:32,900 --> 01:09:34,700
de är heller inte hackade
2454 01:09:34,700 --> 01:09:36,260
utan de är köpta
2455 01:09:36,260 --> 01:09:38,340
de är köpta
2456 01:09:38,340 --> 01:09:40,200
men de har varit listiga då
2457 01:09:40,200 --> 01:09:40,640
Bitcoin
2458 01:09:40,640 --> 01:09:41,540
typ
2459 01:09:41,540 --> 01:09:42,320
nej men alltså
2460 01:09:42,320 --> 01:09:43,760
de är placerade
2461 01:09:43,760 --> 01:09:44,880
över hela världen
2462 01:09:44,880 --> 01:09:46,380
de är skapade
2463 01:09:46,380 --> 01:09:47,560
av en typ
2464 01:09:47,560 --> 01:09:48,200
fysisk människa
2465 01:09:48,200 --> 01:09:48,800
på ett eller annat sätt
2466 01:09:48,800 --> 01:09:49,900
som har en adress
2467 01:09:49,900 --> 01:09:51,000
och ett namn
2468 01:09:51,000 --> 01:09:52,000
alla adresserna
2469 01:09:52,000 --> 01:09:52,840
leder till hotell
2470 01:09:52,840 --> 01:09:53,780
och liknande
2471 01:09:53,780 --> 01:09:55,640
så att det har liksom
2472 01:09:55,640 --> 01:09:56,180
varit hittepå
2473 01:09:56,180 --> 01:09:56,780
alltihopa
2474 01:09:56,780 --> 01:09:58,400
hur de löst pengarfrågan
2475 01:09:58,400 --> 01:09:58,860
vet jag inte
2476 01:09:58,860 --> 01:09:59,460
men på något sätt
2477 01:09:59,460 --> 01:10:00,020
då har de väl
2478 01:10:00,020 --> 01:10:02,040
skickat pengar i kuvert
2479 01:10:02,040 --> 01:10:03,060
charge it to my room
2480 01:10:03,060 --> 01:10:03,380
ja
2481 01:10:03,380 --> 01:10:04,760
sedla i en attachéväska
2482 01:10:04,760 --> 01:10:05,000
ja
2483 01:10:05,000 --> 01:10:05,800
jag har faktiskt
2484 01:10:05,800 --> 01:10:06,760
just paper trail
2485 01:10:06,760 --> 01:10:08,540
frågan har jag inte tittat
2486 01:10:08,540 --> 01:10:09,540
eller money trail frågan
2487 01:10:09,540 --> 01:10:09,900
har jag inte
2488 01:10:09,900 --> 01:10:11,280
jag har inte kikat närmare på
2489 01:10:11,280 --> 01:10:12,460
om man skickar folk till hotell
2490 01:10:12,460 --> 01:10:13,180
så har man nog tänkt
2491 01:10:13,180 --> 01:10:13,960
på den prylen också
2492 01:10:13,960 --> 01:10:15,340
ja det känns ju oerhört
2493 01:10:15,340 --> 01:10:16,080
strukturerat det här
2494 01:10:16,080 --> 01:10:17,120
företagets kreditkort på det
2495 01:10:17,120 --> 01:10:18,300
jag menar det är tillsammans
2496 01:10:18,300 --> 01:10:19,260
med att du bygger upp
2497 01:10:19,260 --> 01:10:20,100
en sån här infrastruktur
2498 01:10:20,100 --> 01:10:21,380
med 80 maskiner
2499 01:10:21,380 --> 01:10:22,540
det är stort
2500 01:10:22,540 --> 01:10:23,640
det är grymt stort
2501 01:10:23,640 --> 01:10:25,320
och du reser runt i världen
2502 01:10:25,320 --> 01:10:26,040
och fixar detta
2503 01:10:26,040 --> 01:10:27,640
tusen infekter ungefär
2504 01:10:27,640 --> 01:10:28,120
men alltså
2505 01:10:28,120 --> 01:10:29,120
och sen så stänger du ner
2506 01:10:29,120 --> 01:10:29,620
alltihopa
2507 01:10:29,620 --> 01:10:30,760
på ett par timmar
2508 01:10:30,760 --> 01:10:31,360
bara dö då
2509 01:10:31,360 --> 01:10:32,900
det är grymt professionellt
2510 01:10:32,900 --> 01:10:33,120
nej nej nej
2511 01:10:33,120 --> 01:10:34,720
bara hypotetiskt
2512 01:10:34,720 --> 01:10:36,120
om någon kollar
2513 01:10:36,120 --> 01:10:37,220
hur långt borta
2514 01:10:37,220 --> 01:10:38,160
ligger de här hotellen
2515 01:10:38,160 --> 01:10:40,060
från närmsta amerikanska ambassad
2516 01:10:40,060 --> 01:10:41,380
det vet jag inte
2517 01:10:41,380 --> 01:10:41,920
om någon har kollat
2518 01:10:41,920 --> 01:10:42,760
let’s do it now
2519 01:10:42,760 --> 01:10:43,240
skjort
2520 01:10:43,240 --> 01:10:44,000
det borde vi göra
2521 01:10:44,000 --> 01:10:45,560
vi har en plott på det
2522 01:10:45,560 --> 01:10:46,100
lägg iväg
2523 01:10:46,100 --> 01:10:46,860
de har i alla fall
2524 01:10:46,860 --> 01:10:47,720
hittat lite
2525 01:10:47,720 --> 01:10:48,720
jag vet inte om de hittade någon
2526 01:10:48,720 --> 01:10:50,420
som inte lyckades stänga ner sig
2527 01:10:50,420 --> 01:10:51,220
eller om de har gjort
2528 01:10:51,220 --> 01:10:52,040
en forensisk analys
2529 01:10:52,040 --> 01:10:52,360
eller någonting
2530 01:10:52,360 --> 01:10:53,460
men de har hittat
2531 01:10:53,460 --> 01:10:54,300
command and control server
2532 01:10:54,300 --> 01:10:55,400
som man kan kika på
2533 01:10:55,400 --> 01:10:56,620
och hör och häpna
2534 01:10:56,620 --> 01:10:58,060
de styrs av en webb-app
2535 01:10:58,060 --> 01:10:59,880
webb-appen heter
2536 01:10:59,880 --> 01:11:01,120
angry birds
2537 01:11:01,120 --> 01:11:02,460
news for you
2538 01:11:02,460 --> 01:11:04,640
och man loggar in
2539 01:11:04,640 --> 01:11:05,400
de har hittat
2540 01:11:05,400 --> 01:11:06,860
hashen av lösenordet
2541 01:11:06,860 --> 01:11:08,260
och gjort brute force på det
2542 01:11:08,260 --> 01:11:09,300
eller fel
2543 01:11:09,300 --> 01:11:10,080
brute force-utämtet
2544 01:11:10,080 --> 01:11:10,880
tror jag misslyckades
2545 01:11:10,880 --> 01:11:11,880
utan de gjorde någon
2546 01:11:11,880 --> 01:11:12,480
dictionary-tax
2547 01:11:12,480 --> 01:11:12,920
eller någonting
2548 01:11:12,920 --> 01:11:14,060
och lösenordet är
2549 01:11:14,060 --> 01:11:16,180
900 gauge
2550 01:11:16,180 --> 01:11:17,320
alltså g-o-g-e
2551 01:11:17,320 --> 01:11:18,160
utropstecken
2552 01:11:18,160 --> 01:11:18,620
at
2553 01:11:18,620 --> 01:11:19,440
hashtaggen
2554 01:11:19,440 --> 01:11:20,800
det var lösenordet
2555 01:11:20,800 --> 01:11:21,780
då kom du in
2556 01:11:21,780 --> 01:11:23,740
och då kunde du välja
2557 01:11:23,740 --> 01:11:25,220
vilken
2558 01:11:25,220 --> 01:11:26,580
malware
2559 01:11:26,580 --> 01:11:27,180
som du skulle
2560 01:11:27,180 --> 01:11:28,460
command and controlla
2561 01:11:28,460 --> 01:11:30,220
det fanns fyra stycken
2562 01:11:30,220 --> 01:11:31,000
upplagda
2563 01:11:31,000 --> 01:11:32,200
en hette
2564 01:11:32,200 --> 01:11:32,940
ja typ
2565 01:11:32,940 --> 01:11:35,540
client underscore
2566 01:11:35,540 --> 01:11:36,300
fl
2567 01:11:36,300 --> 01:11:37,180
som är flame
2568 01:11:37,180 --> 01:11:38,440
en hette
2569 01:11:38,440 --> 01:11:39,840
client underscore
2570 01:11:39,840 --> 01:11:40,660
st
2571 01:11:40,660 --> 01:11:42,040
som är staxnet
2572 01:11:42,040 --> 01:11:43,960
en hette
2573 01:11:43,960 --> 01:11:45,100
client underscore
2574 01:11:45,100 --> 01:11:46,320
typ staxnet
2575 01:11:46,320 --> 01:11:46,940
e
2576 01:11:46,940 --> 01:11:47,480
eller något sådär
2577 01:11:47,480 --> 01:11:48,380
typ extended
2578 01:11:48,380 --> 01:11:48,940
eller något där
2579 01:11:48,940 --> 01:11:50,640
och så en som de inte alls vet
2580 01:11:50,640 --> 01:11:51,400
alltså det här är ju bara
2581 01:11:51,400 --> 01:11:52,860
spekulationer i viss mån
2582 01:11:52,860 --> 01:11:53,580
de kunde se att
2583 01:11:53,580 --> 01:11:55,400
flame var kopplat till
2584 01:11:55,400 --> 01:11:56,900
client underscore fl
2585 01:11:56,900 --> 01:11:57,580
det kunde de se
2586 01:11:57,580 --> 01:11:59,300
men de andra var ju
2587 01:11:59,300 --> 01:11:59,820
det är ju bara lite
2588 01:11:59,820 --> 01:12:01,200
lite gissningar
2589 01:12:01,200 --> 01:12:01,240
det är ju inte så att
2590 01:12:01,240 --> 01:12:02,000
stuxet och sådär
2591 01:12:02,000 --> 01:12:02,660
det är ju namn
2592 01:12:02,660 --> 01:12:03,380
och ducky också
2593 01:12:03,380 --> 01:12:04,080
det är ju inte namn
2594 01:12:04,080 --> 01:12:05,100
som är givna från
2595 01:12:05,100 --> 01:12:05,820
utgivarna
2596 01:12:05,820 --> 01:12:06,420
nej
2597 01:12:06,420 --> 01:12:07,120
eller kodarna
2598 01:12:07,120 --> 01:12:08,120
nej
2599 01:12:08,120 --> 01:12:10,180
så det är ju lite märkligt
2600 01:12:10,180 --> 01:12:11,480
att det finns en referens till dem där
2601 01:12:11,480 --> 01:12:11,600
ja
2602 01:12:11,600 --> 01:12:12,480
jag håller med
2603 01:12:12,480 --> 01:12:13,340
men det var ju
2604 01:12:13,340 --> 01:12:14,460
stubb tog de ju den
2605 01:12:14,460 --> 01:12:15,000
från st
2606 01:12:15,000 --> 01:12:15,640
finns ju
2607 01:12:15,640 --> 01:12:17,360
pass på det
2608 01:12:17,360 --> 01:12:20,120
så det var ju lite coolt
2609 01:12:20,120 --> 01:12:21,120
det var något mer
2610 01:12:21,120 --> 01:12:21,720
med den här web
2611 01:12:21,720 --> 01:12:23,220
jo så den var ganska tydligt
2612 01:12:23,220 --> 01:12:24,380
att den var skriven för
2613 01:12:24,380 --> 01:12:25,380
inte specifikt
2614 01:12:25,380 --> 01:12:26,220
för flame
2615 01:12:26,220 --> 01:12:27,160
utan det var alltså en
2616 01:12:27,160 --> 01:12:28,100
den kunde användas på
2617 01:12:28,100 --> 01:12:29,120
för flera olika
2618 01:12:29,120 --> 01:12:29,860
märktyper
2619 01:12:29,860 --> 01:12:31,060
det fanns en
2620 01:12:31,060 --> 01:12:32,340
man kunde se ett antal
2621 01:12:32,340 --> 01:12:33,580
användarnamn också
2622 01:12:33,580 --> 01:12:35,520
jag vet inte om de medvetet
2623 01:12:35,520 --> 01:12:36,220
var gömda
2624 01:12:36,220 --> 01:12:37,300
för man fick bara se
2625 01:12:37,300 --> 01:12:38,300
första bokstaven typ
2626 01:12:38,300 --> 01:12:39,100
i de här alias
2627 01:12:39,100 --> 01:12:40,300
de fanns fyra stycken alias
2628 01:12:40,300 --> 01:12:41,220
och man kunde se
2629 01:12:41,220 --> 01:12:42,440
hur aktiva de har varit
2630 01:12:42,440 --> 01:12:43,240
i kodförändringar
2631 01:12:43,240 --> 01:12:43,640
och sånt där
2632 01:12:43,640 --> 01:12:45,040
första förändringen gjordes
2633 01:12:45,040 --> 01:12:46,860
2006 tror jag
2634 01:12:46,860 --> 01:12:48,320
så den har varit uppe
2635 01:12:48,320 --> 01:12:48,900
och snurrat ett tag
2636 01:12:48,900 --> 01:12:50,620
och man tror väl att
2637 01:12:50,620 --> 01:12:53,180
att flame skapades
2638 01:12:53,180 --> 01:12:53,900
ja det sa jag nog
2639 01:12:53,900 --> 01:12:55,440
2006, 2007 eller 2008
2640 01:12:55,440 --> 01:12:56,780
det finns lite olika bud där
2641 01:12:56,780 --> 01:12:58,540
men senast 2008
2642 01:12:58,540 --> 01:13:00,360
var den här ute
2643 01:13:00,360 --> 01:13:01,400
och snurrade på riktigt
2644 01:13:01,400 --> 01:13:02,960
aktiv
2645 01:13:02,960 --> 01:13:05,700
framförallt 2010 till 2012
2646 01:13:05,700 --> 01:13:07,300
och ganska mycket aktivitet
2647 01:13:07,300 --> 01:13:08,680
på slutet innan de hittade den
2648 01:13:08,680 --> 01:13:09,560
ett par
2649 01:13:09,560 --> 01:13:10,340
ja jag tror det är så att
2650 01:13:10,340 --> 01:13:11,340
de två command and control
2651 01:13:11,340 --> 01:13:12,320
så de har hittat
2652 01:13:12,320 --> 01:13:13,660
de är från 2012
2653 01:13:13,660 --> 01:13:14,220
båda två
2654 01:13:14,220 --> 01:13:15,380
en ifrån mars
2655 01:13:15,380 --> 01:13:16,140
och en ifrån maj
2656 01:13:16,140 --> 01:13:16,400
tror jag
2657 01:13:16,400 --> 01:13:17,120
så en av dem var ju
2658 01:13:17,120 --> 01:13:18,000
väldigt färsk
2659 01:13:18,000 --> 01:13:19,260
så de kunde se också
2660 01:13:19,260 --> 01:13:20,540
hur mycket moduler
2661 01:13:20,540 --> 01:13:21,240
och sånt som de hade
2662 01:13:21,240 --> 01:13:22,900
skickat ner till sina klienter
2663 01:13:22,900 --> 01:13:23,540
jag tänker på
2664 01:13:23,540 --> 01:13:24,120
alltså
2665 01:13:24,120 --> 01:13:25,480
de här som har satt upp
2666 01:13:25,480 --> 01:13:26,400
de här command and control
2667 01:13:26,400 --> 01:13:27,080
serverna
2668 01:13:27,080 --> 01:13:29,480
måste ju ha
2669 01:13:29,480 --> 01:13:30,480
aktat sig för
2670 01:13:30,480 --> 01:13:31,760
för hosting
2671 01:13:31,760 --> 01:13:32,940
partners
2672 01:13:32,940 --> 01:13:33,920
som har
2673 01:13:33,920 --> 01:13:34,960
rigorösa
2674 01:13:34,960 --> 01:13:35,880
backup rutiner
2675 01:13:35,880 --> 01:13:38,000
för att
2676 01:13:38,000 --> 01:13:38,460
jag menar
2677 01:13:38,460 --> 01:13:39,520
annars är ju det ett hot
2678 01:13:39,520 --> 01:13:40,240
om du vill ha en
2679 01:13:40,240 --> 01:13:41,380
burn server
2680 01:13:41,380 --> 01:13:42,600
för att kunna blåsa
2681 01:13:42,600 --> 01:13:44,020
när skiten träffar fläkten
2682 01:13:44,020 --> 01:13:45,880
de hade ju också
2683 01:13:45,880 --> 01:13:47,220
alltså alla de här
2684 01:13:47,220 --> 01:13:47,920
command and control
2685 01:13:47,920 --> 01:13:49,360
serverna skickade väl vidare
2686 01:13:49,360 --> 01:13:49,860
till
2687 01:13:49,860 --> 01:13:52,360
till nästa instans
2688 01:13:52,360 --> 01:13:52,820
typ när de
2689 01:13:52,820 --> 01:13:53,940
proxy eller något liknande
2690 01:13:53,940 --> 01:13:54,480
och
2691 01:13:54,480 --> 01:13:56,400
de gjorde
2692 01:13:56,400 --> 01:13:57,780
om det var typ
2693 01:13:57,780 --> 01:13:58,980
RSA kryptering
2694 01:13:58,980 --> 01:14:00,140
eller något dyrligt
2695 01:14:00,140 --> 01:14:00,540
det vill säga
2696 01:14:00,540 --> 01:14:01,760
att de krypterade
2697 01:14:01,760 --> 01:14:03,120
på ett sätt
2698 01:14:03,120 --> 01:14:04,060
att de inte
2699 01:14:04,060 --> 01:14:06,280
alltså deras gamla
2700 01:14:06,280 --> 01:14:06,620
medlemmar
2701 01:14:06,620 --> 01:14:07,880
skulle vara inte åtkomliga
2702 01:14:07,880 --> 01:14:08,200
jag tror
2703 01:14:08,200 --> 01:14:09,720
plus att de dessutom
2704 01:14:09,720 --> 01:14:11,000
bort
2705 01:14:11,000 --> 01:14:12,280
så fort de hade skickat
2706 01:14:12,280 --> 01:14:12,660
medel
2707 01:14:12,660 --> 01:14:13,380
så tog de bort
2708 01:14:13,380 --> 01:14:14,260
plain testen
2709 01:14:14,260 --> 01:14:14,800
från disk
2710 01:14:14,800 --> 01:14:16,320
jag tror det var så att
2711 01:14:16,320 --> 01:14:17,200
i duku
2712 01:14:17,200 --> 01:14:17,920
straxentfallet
2713 01:14:17,920 --> 01:14:18,380
så var det mycket
2714 01:14:18,380 --> 01:14:20,020
sån ssh proxy tunneling
2715 01:14:20,020 --> 01:14:21,580
men i flame
2716 01:14:21,580 --> 01:14:22,340
så var det faktiskt så
2717 01:14:22,340 --> 01:14:22,780
att de tror
2718 01:14:22,780 --> 01:14:22,800
att de har
2719 01:14:22,820 --> 01:14:23,940
det här var liksom
2720 01:14:23,940 --> 01:14:24,640
första instansen
2721 01:14:24,640 --> 01:14:25,600
det var inte så att det fanns
2722 01:14:25,600 --> 01:14:26,960
någon centralt
2723 01:14:26,960 --> 01:14:27,940
moderskepp bakom
2724 01:14:27,940 --> 01:14:28,760
som försökte gömmas
2725 01:14:28,760 --> 01:14:29,260
utan det var
2726 01:14:29,260 --> 01:14:30,000
de jobbade med
2727 01:14:30,000 --> 01:14:31,200
via de här 80 maskinerna
2728 01:14:31,200 --> 01:14:31,420
helt enkelt
2729 01:14:31,420 --> 01:14:32,200
det tror man ju att det finns
2730 01:14:32,200 --> 01:14:33,240
i duku fallet
2731 01:14:33,240 --> 01:14:34,220
man har inte kunnat hitta
2732 01:14:34,220 --> 01:14:34,980
the mothership
2733 01:14:34,980 --> 01:14:38,580
när det gäller släktskap
2734 01:14:38,580 --> 01:14:40,820
om jag tittar på
2735 01:14:40,820 --> 01:14:41,880
vår tidslinje
2736 01:14:41,880 --> 01:14:42,620
som vi har ritat här
2737 01:14:42,620 --> 01:14:43,600
för att hålla någon form
2738 01:14:43,600 --> 01:14:44,140
av röd tråd
2739 01:14:44,140 --> 01:14:44,840
så inser jag ju
2740 01:14:44,840 --> 01:14:45,520
att egentligen
2741 01:14:45,520 --> 01:14:46,840
är ju Stuxnet yngre
2742 01:14:46,840 --> 01:14:48,240
än båda de här två
2743 01:14:48,240 --> 01:14:49,560
vad man har kunnat
2744 01:14:49,560 --> 01:14:50,780
bevisa då
2745 01:14:50,780 --> 01:14:51,120
jag menar
2746 01:14:51,120 --> 01:14:51,820
Stuxnets första
2747 01:14:51,820 --> 01:14:52,340
första
2748 01:14:52,340 --> 01:14:54,720
instans
2749 01:14:54,720 --> 01:14:56,080
är från 2009 då
2750 01:14:56,080 --> 01:14:57,240
och vi har väl byggt
2751 01:14:57,240 --> 01:14:57,780
en tidslinje
2752 01:14:57,780 --> 01:14:58,860
på när de upptäcktes
2753 01:14:58,860 --> 01:14:59,500
ja precis
2754 01:14:59,500 --> 01:15:01,020
men jag tänker att
2755 01:15:01,020 --> 01:15:01,960
det skulle mycket väl
2756 01:15:01,960 --> 01:15:02,460
kunna vara så
2757 01:15:02,460 --> 01:15:03,440
att båda de här två
2758 01:15:03,440 --> 01:15:04,140
var alltså
2759 01:15:04,140 --> 01:15:06,700
själva recon-fasen
2760 01:15:06,700 --> 01:15:08,060
inför
2761 01:15:08,060 --> 01:15:09,180
Stuxnet
2762 01:15:09,180 --> 01:15:10,420
och det ligger även
2763 01:15:10,420 --> 01:15:11,200
eller menar jag
2764 01:15:11,200 --> 01:15:11,460
att
2765 01:15:11,460 --> 01:15:12,740
de har varit
2766 01:15:12,740 --> 01:15:13,620
till allmän recon
2767 01:15:13,620 --> 01:15:14,860
man har höjt sina
2768 01:15:14,860 --> 01:15:16,260
möjligheter
2769 01:15:16,260 --> 01:15:17,040
att agera
2770 01:15:17,040 --> 01:15:18,240
inom det här fältet
2771 01:15:18,240 --> 01:15:19,780
och Stuxnet
2772 01:15:19,780 --> 01:15:21,300
påvisar
2773 01:15:21,300 --> 01:15:21,820
ett
2774 01:15:21,820 --> 01:15:22,320
av de här
2775 01:15:22,320 --> 01:15:24,640
två kända fallen
2776 01:15:24,640 --> 01:15:25,400
då man väljer
2777 01:15:25,400 --> 01:15:26,440
att gå ifrån
2778 01:15:26,440 --> 01:15:27,620
att vara
2779 01:15:27,620 --> 01:15:28,320
en tyst observatör
2780 01:15:29,000 --> 01:15:29,700
till att göra
2781 01:15:29,700 --> 01:15:30,320
aktiva operationer
2782 01:15:31,080 --> 01:15:31,320
endgame
2783 01:15:31,880 --> 01:15:32,800
och utvecklingen
2784 01:15:32,800 --> 01:15:33,500
för samtida
2785 01:15:33,500 --> 01:15:34,120
skedde under
2786 01:15:34,120 --> 01:15:34,900
George Bush
2787 01:15:34,900 --> 01:15:35,400
tid
2788 01:15:35,400 --> 01:15:36,420
som president
2789 01:15:36,420 --> 01:15:37,760
jag tror att
2790 01:15:37,760 --> 01:15:38,880
många spekulerar
2791 01:15:38,880 --> 01:15:39,500
att det här har varit
2792 01:15:39,500 --> 01:15:40,220
parallella
2793 01:15:40,220 --> 01:15:41,320
utvecklingsvägar
2794 01:15:42,440 --> 01:15:43,140
vi ser att
2795 01:15:43,140 --> 01:15:43,460
när det gäller
2796 01:15:43,460 --> 01:15:44,580
Flame vs
2797 01:15:44,580 --> 01:15:46,200
Doku Stuxnet
2798 01:15:46,200 --> 01:15:46,880
för att
2799 01:15:46,880 --> 01:15:47,700
Flame delar
2800 01:15:47,700 --> 01:15:48,560
inte så mycket
2801 01:15:48,560 --> 01:15:49,200
kod
2802 01:15:49,200 --> 01:15:50,880
med Doku Stuxnet
2803 01:15:50,880 --> 01:15:51,740
däremot
2804 01:15:51,740 --> 01:15:52,200
en del
2805 01:15:52,200 --> 01:15:53,200
arkitektur
2806 01:15:53,200 --> 01:15:53,680
och en del
2807 01:15:53,680 --> 01:15:54,760
tänk
2808 01:15:54,760 --> 01:15:56,160
med mer
2809 01:15:56,160 --> 01:15:57,820
hands-on
2810 01:15:57,820 --> 01:15:58,420
liknelser
2811 01:15:58,420 --> 01:15:59,140
så är det ju till exempel
2812 01:15:59,140 --> 01:15:59,840
då samma
2813 01:15:59,840 --> 01:16:00,780
Zero Days
2814 01:16:00,780 --> 01:16:01,980
som används
2815 01:16:01,980 --> 01:16:02,860
det vill säga
2816 01:16:02,860 --> 01:16:03,100
den här
2817 01:16:03,100 --> 01:16:03,800
printspoler
2818 01:16:03,800 --> 01:16:04,360
och den här
2819 01:16:04,360 --> 01:16:05,400
länksårbarheten
2820 01:16:05,400 --> 01:16:06,440
används i båda
2821 01:16:06,440 --> 01:16:08,100
och det finns
2822 01:16:08,100 --> 01:16:08,940
faktiskt en
2823 01:16:08,940 --> 01:16:10,520
en liten bit
2824 01:16:10,520 --> 01:16:11,140
kod
2825 01:16:11,140 --> 01:16:11,600
när det gäller
2826 01:16:11,600 --> 01:16:13,060
just länksårbarheten
2827 01:16:13,060 --> 01:16:13,580
tror jag det är
2828 01:16:13,580 --> 01:16:14,220
som är
2829 01:16:14,220 --> 01:16:15,000
nästan
2830 01:16:15,000 --> 01:16:15,640
byte för byte
2831 01:16:15,640 --> 01:16:16,100
kopia
2832 01:16:16,100 --> 01:16:17,440
med en tidig
2833 01:16:17,440 --> 01:16:18,000
Stuxnet
2834 01:16:18,000 --> 01:16:20,380
här är det ju också
2835 01:16:20,380 --> 01:16:21,300
skulle vi åtanke
2836 01:16:21,300 --> 01:16:21,560
att
2837 01:16:21,560 --> 01:16:22,400
de har ju en
2838 01:16:22,400 --> 01:16:23,120
väldigt speciell
2839 01:16:23,120 --> 01:16:24,020
riskmodell
2840 01:16:24,020 --> 01:16:24,520
därför att
2841 01:16:24,520 --> 01:16:25,780
en av
2842 01:16:25,780 --> 01:16:27,360
deras fiender
2843 01:16:27,360 --> 01:16:27,740
är ju
2844 01:16:27,740 --> 01:16:29,060
antivirusbolagen
2845 01:16:29,060 --> 01:16:29,880
och alla andra
2846 01:16:29,880 --> 01:16:30,580
som kan skriva
2847 01:16:30,580 --> 01:16:31,400
signaturer
2848 01:16:31,400 --> 01:16:33,460
så att
2849 01:16:33,460 --> 01:16:35,920
att vara så
2850 01:16:35,920 --> 01:16:36,540
olikt
2851 01:16:36,540 --> 01:16:37,460
som möjligt
2852 01:16:37,460 --> 01:16:38,200
de andra
2853 01:16:38,200 --> 01:16:39,240
operationerna
2854 01:16:39,240 --> 01:16:41,260
även om det
2855 01:16:41,260 --> 01:16:41,840
är
2856 01:16:41,840 --> 01:16:42,500
väldigt
2857 01:16:42,500 --> 01:16:43,180
ekonomiskt
2858 01:16:43,180 --> 01:16:44,000
fördelaktigt
2859 01:16:44,000 --> 01:16:44,600
att dela
2860 01:16:44,600 --> 01:16:45,380
sårbarheter
2861 01:16:45,380 --> 01:16:46,520
och dela kod
2862 01:16:46,520 --> 01:16:47,820
innebär det ju
2863 01:16:47,820 --> 01:16:48,420
liksom att
2864 01:16:48,420 --> 01:16:49,020
om operation
2865 01:16:49,020 --> 01:16:50,280
A faller
2866 01:16:50,280 --> 01:16:51,220
så riskerar du att
2867 01:16:51,220 --> 01:16:52,460
flera ramlar
2868 01:16:52,460 --> 01:16:52,740
så att
2869 01:16:52,740 --> 01:16:54,080
för att minska
2870 01:16:54,080 --> 01:16:55,340
dels minska
2871 01:16:55,340 --> 01:16:56,080
liksom
2872 01:16:56,080 --> 01:16:58,020
dels minska
2873 01:16:58,020 --> 01:16:58,340
liksom
2874 01:16:58,340 --> 01:16:59,140
att du tappar
2875 01:16:59,140 --> 01:17:00,400
alla dina förmågor
2876 01:17:00,400 --> 01:17:01,120
i ett sve
2877 01:17:01,120 --> 01:17:02,740
leder ju till att
2878 01:17:02,740 --> 01:17:02,940
du vill
2879 01:17:02,940 --> 01:17:03,760
differera dem här
2880 01:17:03,760 --> 01:17:04,780
sen kan det ju också
2881 01:17:04,780 --> 01:17:05,180
vara då
2882 01:17:05,180 --> 01:17:05,700
liksom att
2883 01:17:05,700 --> 01:17:06,160
om
2884 01:17:06,160 --> 01:17:07,400
nu åtminstone
2885 01:17:07,400 --> 01:17:07,980
alltså
2886 01:17:07,980 --> 01:17:10,260
90% av världen
2887 01:17:10,260 --> 01:17:10,920
anser väl ändå
2888 01:17:10,920 --> 01:17:11,660
att Stuxnet
2889 01:17:11,660 --> 01:17:12,260
är
2890 01:17:12,260 --> 01:17:13,400
om det inte är
2891 01:17:13,400 --> 01:17:14,480
ett hela amerikansk
2892 01:17:14,480 --> 01:17:14,880
operation
2893 01:17:14,880 --> 01:17:15,520
så åtminstone
2894 01:17:15,520 --> 01:17:16,380
amerikanerna
2895 01:17:16,380 --> 01:17:17,760
är en av två parter
2896 01:17:17,760 --> 01:17:18,800
i framtagningen
2897 01:17:18,800 --> 01:17:19,140
av den
2898 01:17:19,140 --> 01:17:20,740
då kanske man vill
2899 01:17:20,740 --> 01:17:21,080
att
2900 01:17:21,220 --> 01:17:22,640
liksom
2901 01:17:22,640 --> 01:17:23,340
det är en helt
2902 01:17:23,340 --> 01:17:24,460
separerad kodbas
2903 01:17:24,460 --> 01:17:25,560
från alla andra
2904 01:17:25,560 --> 01:17:26,920
operationer
2905 01:17:26,920 --> 01:17:28,860
Stuxnet faller
2906 01:17:28,860 --> 01:17:29,520
vill man ha kvar
2907 01:17:29,520 --> 01:17:30,920
de andra förmågorna
2908 01:17:30,920 --> 01:17:33,120
men som sagt då
2909 01:17:33,120 --> 01:17:34,360
det är sammantaget då
2910 01:17:34,360 --> 01:17:35,040
alltså vi snackar
2911 01:17:35,040 --> 01:17:36,180
MD5-kollisionen
2912 01:17:36,180 --> 01:17:36,660
som kräver
2913 01:17:36,660 --> 01:17:37,500
kryptoteam
2914 01:17:37,500 --> 01:17:39,120
och bra CPU-kraft
2915 01:17:39,120 --> 01:17:39,920
vi snackar
2916 01:17:39,920 --> 01:17:41,060
vilka mål var det
2917 01:17:41,060 --> 01:17:42,060
jo det var Iran
2918 01:17:42,060 --> 01:17:43,140
vi snackar
2919 01:17:43,140 --> 01:17:43,740
att det är
2920 01:17:43,740 --> 01:17:44,980
information stealing
2921 01:17:44,980 --> 01:17:46,160
vi snackar
2922 01:17:46,160 --> 01:17:47,300
det här grymma
2923 01:17:47,300 --> 01:17:47,960
strukturer
2924 01:17:47,960 --> 01:17:48,820
med command and control
2925 01:17:48,820 --> 01:17:49,300
servar
2926 01:17:49,300 --> 01:17:49,900
och hur snabbt
2927 01:17:49,900 --> 01:17:50,620
de försvann
2928 01:17:50,620 --> 01:17:51,200
och vi snackar
2929 01:17:51,220 --> 01:17:52,800
vi snackar likheterna
2930 01:17:52,800 --> 01:17:54,200
med Stuxnet
2931 01:17:54,200 --> 01:17:55,360
så det är ju
2932 01:17:55,360 --> 01:17:55,760
det är ju
2933 01:17:55,760 --> 01:17:56,460
nation state
2934 01:17:56,460 --> 01:17:57,240
och mycket
2935 01:17:57,240 --> 01:17:59,420
lampan lyser ju rätt
2936 01:17:59,420 --> 01:18:00,220
hårt västerut
2937 01:18:00,220 --> 01:18:01,000
det kommer man ju inte ifrån
2938 01:18:01,000 --> 01:18:02,380
det är state sponsored
2939 01:18:02,380 --> 01:18:04,060
by Uncle Sam
2940 01:18:04,060 --> 01:18:05,940
vi kan ju inte vara helt säkra
2941 01:18:05,940 --> 01:18:06,920
men det känns som att
2942 01:18:06,920 --> 01:18:08,140
det är
2943 01:18:08,140 --> 01:18:09,360
till visshet
2944 01:18:09,360 --> 01:18:10,500
gränsande sannolikhet
2945 01:18:10,500 --> 01:18:11,020
som man brukar säga
2946 01:18:11,020 --> 01:18:12,140
och sett ifrån
2947 01:18:12,140 --> 01:18:13,200
från dem
2948 01:18:13,200 --> 01:18:14,460
även om
2949 01:18:14,460 --> 01:18:15,420
han snömannen
2950 01:18:15,420 --> 01:18:16,400
Mr. Schnoden
2951 01:18:16,400 --> 01:18:17,420
han har ju inte
2952 01:18:17,420 --> 01:18:18,580
han har ju inte
2953 01:18:18,580 --> 01:18:19,180
direkt
2954 01:18:19,180 --> 01:18:20,400
någonsin kunnat
2955 01:18:20,400 --> 01:18:20,700
liksom
2956 01:18:20,700 --> 01:18:23,280
sätta fingret
2957 01:18:23,280 --> 01:18:23,740
på någonting
2958 01:18:23,740 --> 01:18:24,500
som direkt
2959 01:18:24,500 --> 01:18:25,340
pekar ut
2960 01:18:25,340 --> 01:18:27,020
de här malware familjerna
2961 01:18:27,020 --> 01:18:28,920
då har ju de visat
2962 01:18:28,920 --> 01:18:29,960
på en väldigt
2963 01:18:29,960 --> 01:18:31,080
stark vilja
2964 01:18:31,080 --> 01:18:32,220
att vara operativt
2965 01:18:32,220 --> 01:18:32,760
aktiva
2966 01:18:32,760 --> 01:18:34,100
inom det här fältet
2967 01:18:34,100 --> 01:18:34,460
oh ja
2968 01:18:34,460 --> 01:18:35,880
kulturen inom NSA
2969 01:18:35,880 --> 01:18:36,700
pekar ju på att
2970 01:18:36,700 --> 01:18:37,540
det här är det hållet
2971 01:18:37,540 --> 01:18:38,220
de vill åt liksom
2972 01:18:38,220 --> 01:18:38,540
ja
2973 01:18:38,540 --> 01:18:39,940
men kan vi säga
2974 01:18:39,940 --> 01:18:40,460
att just det
2975 01:18:40,460 --> 01:18:41,860
att i Schnoden materialet
2976 01:18:41,860 --> 01:18:42,560
inte har kommit fram
2977 01:18:42,560 --> 01:18:43,580
någonting som verkligen
2978 01:18:43,580 --> 01:18:44,580
pekar ut det här
2979 01:18:44,580 --> 01:18:46,040
det kan man tycka
2980 01:18:46,040 --> 01:18:46,300
i och för sig
2981 01:18:46,300 --> 01:18:47,240
är lite märkligt
2982 01:18:47,240 --> 01:18:48,340
det är bra uppsäck
2983 01:18:48,340 --> 01:18:49,620
ja jo
2984 01:18:49,620 --> 01:18:50,320
den kanske har
2985 01:18:50,320 --> 01:18:50,740
väldigt
2986 01:18:50,740 --> 01:18:51,500
det här är
2987 01:18:51,500 --> 01:18:52,880
det här är den aktiva
2988 01:18:52,880 --> 01:18:53,460
delen av oss
2989 01:18:53,460 --> 01:18:53,960
eller kanske två
2990 01:18:53,960 --> 01:18:55,600
separata aktiva grupper
2991 01:18:55,600 --> 01:18:56,360
och de håller sig
2992 01:18:56,360 --> 01:18:57,320
borta från allt annat
2993 01:18:57,320 --> 01:18:58,140
jag tänker att man
2994 01:18:58,140 --> 01:18:59,220
i alla fall
2995 01:18:59,220 --> 01:19:00,860
i Staxnet fallet då
2996 01:19:00,860 --> 01:19:02,660
där det verkligen är
2997 01:19:02,660 --> 01:19:04,840
elektronisk krigföring
2998 01:19:04,840 --> 01:19:05,480
för det är det
2999 01:19:05,480 --> 01:19:06,100
det handlar om
3000 01:19:06,100 --> 01:19:07,060
att man saboterar
3001 01:19:07,060 --> 01:19:07,700
ett annat lands
3002 01:19:07,700 --> 01:19:08,220
möjligheter
3003 01:19:08,220 --> 01:19:09,440
att bygga vapen
3004 01:19:09,440 --> 01:19:10,340
så
3005 01:19:10,340 --> 01:19:11,460
så
3006 01:19:11,460 --> 01:19:12,020
kan jag
3007 01:19:12,020 --> 01:19:12,780
i alla fall
3008 01:19:12,780 --> 01:19:14,620
föreställa mig
3009 01:19:14,620 --> 01:19:15,360
att man kanske
3010 01:19:15,360 --> 01:19:16,080
skulle vilja ha
3011 01:19:16,080 --> 01:19:17,740
plausible deniability
3012 01:19:17,740 --> 01:19:19,340
och kunna ha
3013 01:19:19,340 --> 01:19:20,120
alltså bränna
3014 01:19:20,120 --> 01:19:21,080
hela operationen
3015 01:19:21,080 --> 01:19:22,180
om den skulle
3016 01:19:22,180 --> 01:19:23,640
hamna i en
3017 01:19:23,640 --> 01:19:24,580
congressional hearing
3018 01:19:24,580 --> 01:19:24,900
liksom
3019 01:19:24,900 --> 01:19:26,100
ja jag har också
3020 01:19:26,100 --> 01:19:27,020
hört uppgiften
3021 01:19:27,020 --> 01:19:27,700
att
3022 01:19:27,700 --> 01:19:29,880
att man tror
3023 01:19:29,880 --> 01:19:30,780
att Snowden
3024 01:19:30,780 --> 01:19:32,080
har lyckats
3025 01:19:32,080 --> 01:19:33,240
lura sig till
3026 01:19:33,240 --> 01:19:34,480
inloggningsuppgifter
3027 01:19:34,480 --> 01:19:34,940
till
3028 01:19:34,940 --> 01:19:36,480
en mindre
3029 01:19:36,480 --> 01:19:36,880
mängd
3030 01:19:36,880 --> 01:19:37,820
personer
3031 01:19:37,820 --> 01:19:39,680
som har
3032 01:19:39,680 --> 01:19:40,360
tillgång till
3033 01:19:40,360 --> 01:19:41,360
vissa olika
3034 01:19:41,360 --> 01:19:41,900
arior
3035 01:19:41,900 --> 01:19:43,860
inom NSAs
3036 01:19:43,860 --> 01:19:44,880
skryt
3037 01:19:44,880 --> 01:19:45,700
presentationer
3038 01:19:45,700 --> 01:19:46,040
för det är ju
3039 01:19:46,040 --> 01:19:46,500
faktiskt det
3040 01:19:46,500 --> 01:19:47,140
det handlar om
3041 01:19:47,140 --> 01:19:48,080
det här är ju
3042 01:19:48,080 --> 01:19:49,220
inte presentationer
3043 01:19:49,220 --> 01:19:49,620
som liksom
3044 01:19:49,620 --> 01:19:50,100
handlar om
3045 01:19:50,120 --> 01:19:52,000
vad de faktiskt
3046 01:19:52,000 --> 01:19:52,740
gör för något
3047 01:19:52,740 --> 01:19:53,260
utan sånt
3048 01:19:53,260 --> 01:19:54,040
utan det är väldigt
3049 01:19:54,040 --> 01:19:54,420
mycket
3050 01:19:54,420 --> 01:19:56,380
där brittiska
3051 01:19:56,380 --> 01:19:57,300
underrättstjänster
3052 01:19:57,300 --> 01:19:57,920
och amerikanska
3053 01:19:57,920 --> 01:19:58,560
underrättstjänster
3054 01:19:58,560 --> 01:19:59,280
skryter om
3055 01:19:59,280 --> 01:20:00,260
hur duktiga
3056 01:20:00,260 --> 01:20:00,940
de är i största
3057 01:20:00,940 --> 01:20:01,560
allmänhet
3058 01:20:01,560 --> 01:20:02,860
kolla vad vi kan
3059 01:20:02,860 --> 01:20:03,760
ge oss med pengar
3060 01:20:03,760 --> 01:20:06,340
förmodligen
3061 01:20:06,340 --> 01:20:07,460
Grook har ju
3062 01:20:07,460 --> 01:20:08,120
tagit upp det här
3063 01:20:08,120 --> 01:20:08,560
bland annat
3064 01:20:08,560 --> 01:20:09,840
att allting
3065 01:20:09,840 --> 01:20:10,560
tyder ju på
3066 01:20:10,560 --> 01:20:11,120
att
3067 01:20:11,120 --> 01:20:12,320
Snowden har
3068 01:20:12,320 --> 01:20:13,440
komplementerat
3069 01:20:13,440 --> 01:20:15,220
personer
3070 01:20:15,220 --> 01:20:16,020
som sysslar
3071 01:20:16,020 --> 01:20:16,560
med
3072 01:20:16,560 --> 01:20:18,180
alltså att göra
3073 01:20:18,180 --> 01:20:18,760
reklam
3074 01:20:18,760 --> 01:20:19,300
för NSA
3075 01:20:19,300 --> 01:20:20,860
internmarknadsföring
3076 01:20:20,860 --> 01:20:21,740
och att även om de här
3077 01:20:21,740 --> 01:20:23,120
är superhemligt
3078 01:20:23,120 --> 01:20:23,720
stämplat
3079 01:20:23,720 --> 01:20:24,660
New Foreign
3080 01:20:24,660 --> 01:20:25,580
och alla sådana
3081 01:20:25,580 --> 01:20:26,400
stämplar på det
3082 01:20:26,400 --> 01:20:27,560
så är det faktiskt
3083 01:20:27,560 --> 01:20:28,340
det här är inte
3084 01:20:28,340 --> 01:20:29,660
det känsligaste materialet
3085 01:20:29,660 --> 01:20:29,980
för att
3086 01:20:29,980 --> 01:20:31,140
här är det det
3087 01:20:31,140 --> 01:20:32,640
de upputmarknadsför
3088 01:20:32,640 --> 01:20:33,040
till
3089 01:20:33,040 --> 01:20:34,080
olika
3090 01:20:34,080 --> 01:20:35,600
amerikanska myndigheter
3091 01:20:35,600 --> 01:20:36,600
som vill köpa
3092 01:20:36,600 --> 01:20:37,680
tjänster på NSA
3093 01:20:37,680 --> 01:20:39,100
samtidigt så måste det ju
3094 01:20:39,100 --> 01:20:40,060
ur Snowden perspektiv
3095 01:20:40,060 --> 01:20:40,380
vara nästan
3096 01:20:40,380 --> 01:20:41,400
bättre att hitta
3097 01:20:41,400 --> 01:20:42,100
det här materialet
3098 01:20:42,100 --> 01:20:42,360
än att hitta
3099 01:20:42,360 --> 01:20:43,140
tekniskt material
3100 01:20:43,140 --> 01:20:43,920
det här är ju
3101 01:20:43,920 --> 01:20:45,080
marknadsföringsmaterial
3102 01:20:45,080 --> 01:20:45,800
det är ju klockrent
3103 01:20:45,800 --> 01:20:46,760
lättförståeligt
3104 01:20:46,760 --> 01:20:47,660
för gemene
3105 01:20:47,660 --> 01:20:48,160
exakt
3106 01:20:48,160 --> 01:20:49,140
den materialet
3107 01:20:49,300 --> 01:20:50,140
till exempel
3108 01:20:50,140 --> 01:20:51,040
när de pratar om
3109 01:20:51,040 --> 01:20:51,620
att gå in på
3110 01:20:51,620 --> 01:20:52,580
marknadsdatorer
3111 01:20:52,580 --> 01:20:53,520
och sånt
3112 01:20:53,520 --> 01:20:54,440
där pratar man ju
3113 01:20:54,440 --> 01:20:54,820
om
3114 01:20:54,820 --> 01:20:56,160
andra amerikanska
3115 01:20:56,160 --> 01:20:56,640
myndigheter
3116 01:20:56,640 --> 01:20:57,840
som customers
3117 01:20:57,840 --> 01:20:58,860
så att
3118 01:20:58,860 --> 01:20:59,740
det är verkligen
3119 01:20:59,740 --> 01:21:00,160
det här är
3120 01:21:00,160 --> 01:21:01,680
säljpresentationerna
3121 01:21:01,680 --> 01:21:02,940
det är inte
3122 01:21:02,940 --> 01:21:03,740
presentationerna
3123 01:21:03,740 --> 01:21:04,220
på de här
3124 01:21:04,220 --> 01:21:04,660
operationerna
3125 01:21:04,660 --> 01:21:08,080
om det är det
3126 01:21:08,080 --> 01:21:08,660
man går ut med
3127 01:21:08,660 --> 01:21:09,720
hyfsat publikt
3128 01:21:09,720 --> 01:21:10,420
så att säga
3129 01:21:10,420 --> 01:21:11,140
vad kan de då
3130 01:21:11,140 --> 01:21:11,380
för riktigt
3131 01:21:11,380 --> 01:21:11,520
vad har man då
3132 01:21:11,520 --> 01:21:12,420
i sina wetworks
3133 01:21:12,420 --> 01:21:12,740
liksom
3134 01:21:12,740 --> 01:21:13,800
ja precis
3135 01:21:13,800 --> 01:21:14,760
det är ju där
3136 01:21:14,760 --> 01:21:15,240
det blir intressant
3137 01:21:15,240 --> 01:21:17,520
vi imponerar
3138 01:21:17,520 --> 01:21:17,860
av deras
3139 01:21:17,860 --> 01:21:18,580
säljpresentationer
3140 01:21:18,580 --> 01:21:19,160
nej
3141 01:21:19,160 --> 01:21:19,960
när löste vi
3142 01:21:19,960 --> 01:21:21,260
någonsin en säljpresentation
3143 01:21:21,260 --> 01:21:22,400
från något annat gäng
3144 01:21:22,400 --> 01:21:22,960
som var
3145 01:21:22,960 --> 01:21:23,640
som liksom
3146 01:21:23,640 --> 01:21:24,860
var spännande
3147 01:21:24,860 --> 01:21:26,160
och som folk ville prata om
3148 01:21:26,160 --> 01:21:26,960
för att inte vara megapoint
3149 01:21:26,960 --> 01:21:27,760
men om vi drar
3150 01:21:27,760 --> 01:21:29,200
om vi drar den liknelsen
3151 01:21:29,200 --> 01:21:30,100
i extrem
3152 01:21:30,100 --> 01:21:30,680
så kan man ju säga
3153 01:21:30,680 --> 01:21:31,800
det är rätt mycket grejer
3154 01:21:31,800 --> 01:21:32,640
i säljpresentationerna
3155 01:21:32,640 --> 01:21:33,760
som teknikerna
3156 01:21:33,760 --> 01:21:34,380
har svårt att göra
3157 01:21:34,380 --> 01:21:34,960
i verkligheten
3158 01:21:34,960 --> 01:21:36,460
ja jo så är det
3159 01:21:36,460 --> 01:21:36,880
men
3160 01:21:36,880 --> 01:21:38,300
men det är som vanligt
3161 01:21:38,300 --> 01:21:38,580
liksom
3162 01:21:38,580 --> 01:21:39,100
säljarna
3163 01:21:39,100 --> 01:21:40,020
de lovar att gå runt
3164 01:21:40,020 --> 01:21:41,700
och så får vi sopa upp det
3165 01:21:41,700 --> 01:21:42,500
vi
3166 01:21:42,500 --> 01:21:45,600
är långt över en timme
3167 01:21:45,600 --> 01:21:46,280
jag tycker i alla fall
3168 01:21:46,280 --> 01:21:47,080
en bit över en timme
3169 01:21:47,080 --> 01:21:48,040
jag kan säga ett par ord
3170 01:21:48,040 --> 01:21:48,440
om gals
3171 01:21:48,440 --> 01:21:49,640
vi behöver gå vidare
3172 01:21:49,640 --> 01:21:50,140
till Peters
3173 01:21:50,140 --> 01:21:51,100
bra tänk
3174 01:21:51,100 --> 01:21:51,340
gals
3175 01:21:51,340 --> 01:21:51,820
ja
3176 01:21:51,820 --> 01:21:53,220
det passar jättebra
3177 01:21:53,220 --> 01:21:53,960
för jag har inte gjort så
3178 01:21:53,960 --> 01:21:55,360
fruktansvärt mycket research
3179 01:21:55,360 --> 01:21:55,720
men
3180 01:21:55,720 --> 01:21:57,080
läs
3181 01:21:57,080 --> 01:21:59,520
två timmar senare
3182 01:21:59,520 --> 01:22:01,800
japp
3183 01:22:01,800 --> 01:22:02,580
då drar vi igång
3184 01:22:02,580 --> 01:22:03,860
jag tror man har
3185 01:22:03,860 --> 01:22:04,360
ett
3186 01:22:04,360 --> 01:22:07,080
lebanesiskt fokus
3187 01:22:07,080 --> 01:22:08,260
på märkligheten
3188 01:22:08,260 --> 01:22:08,820
i alla fall
3189 01:22:08,820 --> 01:22:09,760
mellan östen
3190 01:22:09,760 --> 01:22:10,620
och
3191 01:22:10,620 --> 01:22:12,100
av de man har kunnat
3192 01:22:12,100 --> 01:22:13,940
de infektioner
3193 01:22:13,940 --> 01:22:14,240
man har kunnat
3194 01:22:14,240 --> 01:22:14,920
snappa upp
3195 01:22:14,920 --> 01:22:16,060
så har
3196 01:22:16,060 --> 01:22:16,740
Libanon
3197 01:22:16,740 --> 01:22:17,260
varit
3198 01:22:17,260 --> 01:22:18,340
vansinnigt
3199 01:22:18,440 --> 01:22:19,300
det har varit en onaturligt
3200 01:22:19,300 --> 01:22:19,900
stor andel
3201 01:22:19,900 --> 01:22:21,300
och speciellt
3202 01:22:21,300 --> 01:22:22,300
banker
3203 01:22:22,300 --> 01:22:24,620
och finansiella grejer
3204 01:22:24,620 --> 01:22:25,400
i det området
3205 01:22:25,400 --> 01:22:28,420
som man skulle kunna tro
3206 01:22:28,420 --> 01:22:29,080
att de är ute efter
3207 01:22:29,080 --> 01:22:29,980
att sno pengar
3208 01:22:29,980 --> 01:22:30,720
i delen
3209 01:22:30,720 --> 01:22:31,980
eller spåra pengar
3210 01:22:31,980 --> 01:22:32,940
eller spåra pengar
3211 01:22:32,940 --> 01:22:33,520
vilket kan vara
3212 01:22:33,520 --> 01:22:35,400
mycket mer intressant
3213 01:22:35,400 --> 01:22:36,760
och
3214 01:22:36,760 --> 01:22:41,560
det kan verka lite
3215 01:22:41,560 --> 01:22:42,300
tråkigt
3216 01:22:42,300 --> 01:22:43,220
om man ser till
3217 01:22:43,220 --> 01:22:44,200
allt annat
3218 01:22:44,200 --> 01:22:44,860
vi har hört om
3219 01:22:44,860 --> 01:22:45,280
det är inte
3220 01:22:45,280 --> 01:22:47,020
med ducko
3221 01:22:47,020 --> 01:22:47,380
och flame
3222 01:22:47,380 --> 01:22:47,760
så
3223 01:22:47,760 --> 01:22:48,420
är det väl
3224 01:22:48,420 --> 01:22:48,920
inget där
3225 01:22:48,920 --> 01:22:49,500
som direkt
3226 01:22:49,500 --> 01:22:50,100
liksom såhär
3227 01:22:50,100 --> 01:22:51,500
liksom väcker
3228 01:22:51,500 --> 01:22:52,280
intresset
3229 01:22:52,280 --> 01:22:52,720
och känns som
3230 01:22:52,720 --> 01:22:53,420
åh det här
3231 01:22:53,420 --> 01:22:54,240
var ett spännande
3232 01:22:54,240 --> 01:22:54,580
malware
3233 01:22:54,580 --> 01:22:55,500
men
3234 01:22:55,500 --> 01:22:57,740
gauss gör
3235 01:22:57,740 --> 01:22:58,640
en sak
3236 01:22:58,640 --> 01:22:59,820
som inte
3237 01:22:59,820 --> 01:23:00,540
någon av deras
3238 01:23:00,540 --> 01:23:01,180
föregångare
3239 01:23:01,180 --> 01:23:01,860
verkar ha gjort
3240 01:23:01,860 --> 01:23:02,800
det är gaussing
3241 01:23:02,800 --> 01:23:03,580
ja det hade varit
3242 01:23:03,580 --> 01:23:04,160
riktigt skit
3243 01:23:04,160 --> 01:23:06,260
nej
3244 01:23:06,260 --> 01:23:08,320
den har byggt in
3245 01:23:08,320 --> 01:23:10,820
alltså
3246 01:23:10,820 --> 01:23:11,440
kod
3247 01:23:11,440 --> 01:23:12,200
som inte ens
3248 01:23:12,200 --> 01:23:12,820
viruset
3249 01:23:12,820 --> 01:23:13,140
själv
3250 01:23:13,140 --> 01:23:14,140
kan avkryptera
3251 01:23:14,140 --> 01:23:15,320
det vill säga
3252 01:23:15,320 --> 01:23:15,660
att
3253 01:23:15,660 --> 01:23:16,740
den är
3254 01:23:16,740 --> 01:23:18,400
om vi ska
3255 01:23:18,420 --> 01:23:18,800
snacka
3256 01:23:18,800 --> 01:23:20,480
om precisionsbombning
3257 01:23:20,480 --> 01:23:21,340
pratade vi om
3258 01:23:21,340 --> 01:23:21,940
när vi beskrev
3259 01:23:21,940 --> 01:23:22,640
stuxnät
3260 01:23:22,640 --> 01:23:23,440
den behöver alltså
3261 01:23:23,440 --> 01:23:24,240
hämta nycklar
3262 01:23:24,240 --> 01:23:25,120
någonstans ifrån
3263 01:23:25,120 --> 01:23:25,780
då för att kunna
3264 01:23:25,780 --> 01:23:26,540
avkoda det
3265 01:23:26,540 --> 01:23:26,840
eller vad
3266 01:23:26,840 --> 01:23:27,420
nej nej nej
3267 01:23:27,420 --> 01:23:28,220
bättre än så
3268 01:23:28,220 --> 01:23:29,420
målet är
3269 01:23:29,420 --> 01:23:29,920
nyckeln
3270 01:23:29,920 --> 01:23:31,720
när den kommer fram
3271 01:23:31,720 --> 01:23:32,760
till rätt dator
3272 01:23:32,760 --> 01:23:34,260
så sitter rätt dator
3273 01:23:34,260 --> 01:23:35,200
på informationen
3274 01:23:35,200 --> 01:23:35,700
som krävs
3275 01:23:35,700 --> 01:23:36,620
för att dekryptera
3276 01:23:36,620 --> 01:23:37,820
så att det finns
3277 01:23:37,820 --> 01:23:39,560
en jättehemlig del
3278 01:23:39,560 --> 01:23:40,320
av gauss
3279 01:23:40,320 --> 01:23:42,120
som jag googlade lite
3280 01:23:42,120 --> 01:23:43,000
och försökte leta rätt
3281 01:23:43,000 --> 01:23:43,480
på det här
3282 01:23:43,480 --> 01:23:44,580
liksom om du har hämtat
3283 01:23:44,580 --> 01:23:45,920
någonting sen senast
3284 01:23:45,920 --> 01:23:47,100
innan vi spelade in
3285 01:23:47,100 --> 01:23:47,680
den här podcasten
3286 01:23:47,680 --> 01:23:48,220
jag har inte hittat
3287 01:23:48,220 --> 01:23:48,680
någonting
3288 01:23:48,680 --> 01:23:49,260
för att någon lyckas
3289 01:23:49,260 --> 01:23:49,920
knäcka det här
3290 01:23:49,920 --> 01:23:51,600
man vet att den
3291 01:23:51,600 --> 01:23:52,560
går in i typ
3292 01:23:52,560 --> 01:23:53,480
motsvarigheten till
3293 01:23:53,480 --> 01:23:54,280
c-colon
3294 01:23:54,280 --> 01:23:55,000
programs
3295 01:23:55,000 --> 01:23:55,640
eller c-colon
3296 01:23:55,640 --> 01:23:56,540
program files
3297 01:23:56,540 --> 01:23:57,720
och
3298 01:23:57,720 --> 01:23:59,640
har alla
3299 01:23:59,640 --> 01:24:01,160
installationer
3300 01:24:01,160 --> 01:24:02,680
och kör dem
3301 01:24:02,680 --> 01:24:03,200
genom typ
3302 01:24:03,200 --> 01:24:04,100
någon hash
3303 01:24:04,100 --> 01:24:05,180
eller någonting liknande
3304 01:24:05,180 --> 01:24:06,260
och
3305 01:24:06,260 --> 01:24:11,160
ett av programmen
3306 01:24:11,160 --> 01:24:13,040
namnet på det
3307 01:24:13,040 --> 01:24:13,680
är
3308 01:24:13,680 --> 01:24:15,740
nyckeln till
3309 01:24:15,740 --> 01:24:17,160
hur man dekrypterar
3310 01:24:17,160 --> 01:24:18,020
den mest hemliga
3311 01:24:18,020 --> 01:24:18,200
delen
3312 01:24:18,220 --> 01:24:20,300
av det här programmet
3313 01:24:20,300 --> 01:24:21,180
nu är vi inne på
3314 01:24:21,180 --> 01:24:21,940
det här extrem
3315 01:24:21,940 --> 01:24:22,780
targeting igen
3316 01:24:22,780 --> 01:24:23,840
precis
3317 01:24:23,840 --> 01:24:25,380
och då kunde man ju tro
3318 01:24:25,380 --> 01:24:26,960
att så jävla många
3319 01:24:26,960 --> 01:24:28,280
program finns det inte
3320 01:24:28,280 --> 01:24:29,160
ute i världen
3321 01:24:29,160 --> 01:24:29,960
så att det här
3322 01:24:29,960 --> 01:24:30,760
borde väl vara knäppt
3323 01:24:30,760 --> 01:24:31,440
jävligt fort
3324 01:24:31,440 --> 01:24:33,400
men Kapersky
3325 01:24:33,400 --> 01:24:34,180
gick ut med
3326 01:24:34,180 --> 01:24:34,540
så här
3327 01:24:34,540 --> 01:24:36,220
vi har misslyckats
3328 01:24:37,200 --> 01:24:39,080
vi hittar inte
3329 01:24:39,080 --> 01:24:40,200
vilket program
3330 01:24:40,200 --> 01:24:40,980
som är nyckeln
3331 01:24:40,980 --> 01:24:41,700
till att låsa upp
3332 01:24:41,700 --> 01:24:42,560
den hemligaste delen
3333 01:24:42,560 --> 01:24:43,300
av Kapersky
3334 01:24:43,300 --> 01:24:44,900
den hemligaste delen
3335 01:24:44,900 --> 01:24:45,660
av gauss
3336 01:24:45,660 --> 01:24:46,400
och
3337 01:24:46,400 --> 01:24:48,200
man tror då
3338 01:24:48,220 --> 01:24:49,700
de har gått ut med
3339 01:24:49,700 --> 01:24:50,280
som liksom
3340 01:24:50,280 --> 01:24:50,840
som de ser
3341 01:24:50,840 --> 01:24:51,640
som allmänna hints
3342 01:24:51,640 --> 01:24:52,480
de har gett så här
3343 01:24:52,480 --> 01:24:54,040
exempelkod
3344 01:24:54,040 --> 01:24:54,340
liksom
3345 01:24:54,340 --> 01:24:54,880
om
3346 01:24:54,880 --> 01:24:56,200
om det här
3347 01:24:56,200 --> 01:24:57,760
indata
3348 01:24:57,760 --> 01:24:59,340
så kommer du få
3349 01:24:59,340 --> 01:25:00,660
det här resultatet
3350 01:25:00,660 --> 01:25:01,620
så att du kan testa
3351 01:25:01,620 --> 01:25:01,840
din
3352 01:25:01,840 --> 01:25:03,220
du kan själv
3353 01:25:03,220 --> 01:25:03,800
utveckla
3354 01:25:03,800 --> 01:25:04,620
gausskakor
3355 01:25:04,620 --> 01:25:06,340
och försöka knäcka det här
3356 01:25:06,340 --> 01:25:07,540
och
3357 01:25:07,540 --> 01:25:08,360
de har också sagt
3358 01:25:08,360 --> 01:25:08,660
att
3359 01:25:08,660 --> 01:25:10,340
de tror ju att
3360 01:25:10,340 --> 01:25:11,240
de har kört igenom
3361 01:25:11,240 --> 01:25:12,560
alla program
3362 01:25:12,560 --> 01:25:12,980
som är
3363 01:25:12,980 --> 01:25:13,860
något
3364 01:25:13,860 --> 01:25:14,380
sånär
3365 01:25:14,380 --> 01:25:15,660
vanliga
3366 01:25:15,660 --> 01:25:16,560
i västvärlden
3367 01:25:16,560 --> 01:25:17,620
och de provade notepad
3368 01:25:17,620 --> 01:25:18,020
ja
3369 01:25:18,020 --> 01:25:20,160
notepad tror jag inte har
3370 01:25:20,160 --> 01:25:20,920
en egen installation
3371 01:25:20,920 --> 01:25:21,600
nu ser jag på
3372 01:25:21,600 --> 01:25:22,360
om program fanns
3373 01:25:22,360 --> 01:25:23,400
men okej
3374 01:25:23,400 --> 01:25:24,620
och
3375 01:25:24,620 --> 01:25:26,720
och
3376 01:25:26,720 --> 01:25:30,240
utifrån att de tror
3377 01:25:30,240 --> 01:25:31,000
att
3378 01:25:31,000 --> 01:25:32,320
Lebanon kan
3379 01:25:32,320 --> 01:25:32,740
eller
3380 01:25:32,740 --> 01:25:33,920
Lebanon kan ha varit
3381 01:25:33,920 --> 01:25:35,820
målamrådet
3382 01:25:35,820 --> 01:25:37,320
så skulle det kunna vara
3383 01:25:37,320 --> 01:25:38,140
så att programmet
3384 01:25:38,140 --> 01:25:39,040
heter någonting
3385 01:25:39,040 --> 01:25:40,080
på det språket
3386 01:25:40,080 --> 01:25:41,180
eller kanske
3387 01:25:41,180 --> 01:25:42,420
har något arabiskt
3388 01:25:42,420 --> 01:25:43,060
eller liknande
3389 01:25:43,060 --> 01:25:43,620
i namnet
3390 01:25:43,620 --> 01:25:44,780
och
3391 01:25:44,780 --> 01:25:46,340
det har ju kommit
3392 01:25:46,340 --> 01:25:46,940
där liksom
3393 01:25:46,940 --> 01:25:47,580
det har kommit
3394 01:25:47,580 --> 01:25:48,000
mjukt
3395 01:25:48,020 --> 01:25:48,940
vara för att
3396 01:25:48,940 --> 01:25:49,860
försöka knäcka
3397 01:25:49,860 --> 01:25:50,280
gauss
3398 01:25:50,280 --> 01:25:51,400
på sina grafikkort
3399 01:25:51,400 --> 01:25:51,800
och sånt
3400 01:25:51,800 --> 01:25:52,060
men
3401 01:25:52,060 --> 01:25:53,560
hittills har jag inte hört
3402 01:25:53,560 --> 01:25:54,200
om någon som har lyckats
3403 01:25:54,200 --> 01:25:54,700
knäcka det
3404 01:25:54,700 --> 01:25:55,400
och det har ändå gått
3405 01:25:55,400 --> 01:25:56,020
ett par år nu
3406 01:25:56,020 --> 01:25:57,480
otroligt
3407 01:25:57,480 --> 01:25:58,620
det var ju faktiskt
3408 01:25:58,620 --> 01:25:59,440
riktigt riktigt coolt
3409 01:25:59,440 --> 01:26:00,240
men det skulle kunna vara så
3410 01:26:00,240 --> 01:26:00,980
att det här är liksom
3411 01:26:00,980 --> 01:26:01,880
laser targeting
3412 01:26:01,880 --> 01:26:02,200
det vill säga
3413 01:26:02,200 --> 01:26:03,000
någon av de andra
3414 01:26:03,000 --> 01:26:03,640
malwareen
3415 01:26:03,640 --> 01:26:04,800
eller någon person
3416 01:26:04,800 --> 01:26:05,760
fysiskt på plats
3417 01:26:05,760 --> 01:26:07,140
har droppat en fil
3418 01:26:07,140 --> 01:26:07,800
som heter något alldeles
3419 01:26:07,800 --> 01:26:08,340
tokigt
3420 01:26:08,340 --> 01:26:09,120
lite som
3421 01:26:09,120 --> 01:26:10,560
att belysa
3422 01:26:10,560 --> 01:26:11,680
belysa målet
3423 01:26:11,680 --> 01:26:12,440
ja precis
3424 01:26:12,440 --> 01:26:15,400
med en laserpekare
3425 01:26:15,400 --> 01:26:16,020
annars är den
3426 01:26:16,020 --> 01:26:16,900
om jag ändå är där
3427 01:26:16,900 --> 01:26:17,860
kan jag ladda den?
3428 01:26:17,860 --> 01:26:17,940
nej jag har inte
3429 01:26:17,940 --> 01:26:18,000
jag har inte
3430 01:26:18,020 --> 01:26:19,200
jag skulle ju kunna
3431 01:26:19,200 --> 01:26:20,000
tänka mig
3432 01:26:20,000 --> 01:26:20,760
alltså
3433 01:26:20,760 --> 01:26:22,120
till exempel
3434 01:26:22,120 --> 01:26:23,080
så sägs det väl
3435 01:26:23,080 --> 01:26:23,520
att
3436 01:26:23,520 --> 01:26:26,220
de lite dummare
3437 01:26:26,220 --> 01:26:28,480
al-qaida-operatörerna
3438 01:26:28,480 --> 01:26:29,260
använder typ
3439 01:26:29,260 --> 01:26:31,580
mojadin-krypto-software
3440 01:26:31,580 --> 01:26:32,100
eller någonting
3441 01:26:32,100 --> 01:26:32,560
sånt där
3442 01:26:32,560 --> 01:26:33,520
men liksom
3443 01:26:33,520 --> 01:26:35,160
om du kör det här
3444 01:26:35,160 --> 01:26:35,700
programmet
3445 01:26:35,700 --> 01:26:36,220
så är du en
3446 01:26:36,220 --> 01:26:36,800
inbarnet
3447 01:26:36,800 --> 01:26:38,020
järndöd terrorist
3448 01:26:38,020 --> 01:26:38,740
liksom
3449 01:26:38,740 --> 01:26:41,140
som använder
3450 01:26:41,140 --> 01:26:41,620
ett program
3451 01:26:41,620 --> 01:26:42,020
som typ
3452 01:26:42,020 --> 01:26:42,900
västerländsk
3453 01:26:42,900 --> 01:26:43,440
underrättelsen
3454 01:26:43,440 --> 01:26:44,240
letar efter
3455 01:26:44,240 --> 01:26:44,840
deras
3456 01:26:44,840 --> 01:26:46,820
deras plaintext
3457 01:26:46,820 --> 01:26:47,140
och sånt
3458 01:26:47,140 --> 01:26:47,300
men
3459 01:26:47,300 --> 01:26:47,940
det skulle
3460 01:26:47,940 --> 01:26:48,540
ju kunna vara
3461 01:26:48,540 --> 01:26:49,200
någonting sånt
3462 01:26:49,200 --> 01:26:50,040
att det finns
3463 01:26:50,040 --> 01:26:51,920
något program
3464 01:26:51,920 --> 01:26:52,320
som är
3465 01:26:52,320 --> 01:26:53,700
superovanligt
3466 01:26:53,700 --> 01:26:54,420
och som också
3467 01:26:54,420 --> 01:26:55,180
på något sätt
3468 01:26:55,180 --> 01:26:56,540
dikterar
3469 01:26:56,540 --> 01:26:57,440
vad du sysslar med
3470 01:26:57,440 --> 01:26:58,340
för typ av arbete
3471 01:26:58,340 --> 01:26:59,020
till exempel
3472 01:26:59,020 --> 01:27:00,020
någon väldigt speciell
3473 01:27:00,020 --> 01:27:01,400
finansiell mjukvara
3474 01:27:01,400 --> 01:27:02,260
i den här delen
3475 01:27:02,260 --> 01:27:03,100
av världen
3476 01:27:03,100 --> 01:27:03,880
eller någonting liknande
3477 01:27:03,880 --> 01:27:05,280
man kan ju tänka sig
3478 01:27:05,280 --> 01:27:05,640
att
3479 01:27:05,640 --> 01:27:07,280
att man har kommit
3480 01:27:07,280 --> 01:27:08,000
över datorer
3481 01:27:08,000 --> 01:27:09,020
när man har varit
3482 01:27:09,020 --> 01:27:09,780
nere och krigat
3483 01:27:09,780 --> 01:27:10,740
i Mellanöstern
3484 01:27:10,740 --> 01:27:12,540
tagit datorer
3485 01:27:12,540 --> 01:27:13,160
i beslag
3486 01:27:13,160 --> 01:27:13,620
och där
3487 01:27:13,620 --> 01:27:15,060
skitsnygg teori
3488 01:27:15,060 --> 01:27:16,000
att hitta
3489 01:27:16,000 --> 01:27:17,240
liksom filer
3490 01:27:17,240 --> 01:27:17,500
där
3491 01:27:17,500 --> 01:27:17,820
som
3492 01:27:17,820 --> 01:27:18,700
, som man vill liksom
3493 01:27:18,700 --> 01:27:19,760
vad vill vara med om
3494 01:27:19,760 --> 01:27:20,980
den vill vi komma åt
3495 01:27:20,980 --> 01:27:22,560
det vore ju asmart
3496 01:27:22,560 --> 01:27:23,260
jag vet att de har
3497 01:27:23,260 --> 01:27:23,980
väldigt mycket
3498 01:27:23,980 --> 01:27:25,720
forensiker med sig
3499 01:27:25,720 --> 01:27:27,420
vad
3500 01:27:27,420 --> 01:27:28,320
vi har pratat tidigare
3501 01:27:28,320 --> 01:27:28,880
om det när det var
3502 01:27:28,880 --> 01:27:29,840
det övriga Malwares
3503 01:27:29,840 --> 01:27:30,040
vad
3504 01:27:30,040 --> 01:27:31,800
namnet Gauss
3505 01:27:31,800 --> 01:27:32,320
var kommer det ifrån
3506 01:27:32,320 --> 01:27:36,080
jag tror
3507 01:27:36,080 --> 01:27:38,380
om jag minns rätt
3508 01:27:38,380 --> 01:27:38,880
så
3509 01:27:38,880 --> 01:27:40,080
att Gauss
3510 01:27:40,080 --> 01:27:41,040
och flera andra
3511 01:27:41,040 --> 01:27:42,260
kända personer
3512 01:27:42,260 --> 01:27:43,920
finns med
3513 01:27:43,920 --> 01:27:44,680
som namn
3514 01:27:44,680 --> 01:27:46,260
på olika delmoduler
3515 01:27:46,260 --> 01:27:46,620
och så
3516 01:27:46,620 --> 01:27:47,380
i det här Malware
3517 01:27:47,380 --> 01:27:49,380
och
3518 01:27:49,380 --> 01:27:52,760
man tror återigen
3519 01:27:52,760 --> 01:27:53,660
att det här
3520 01:27:53,660 --> 01:27:54,880
är en av dem
3521 01:27:54,880 --> 01:27:55,700
som liksom
3522 01:27:55,700 --> 01:27:56,880
hänger ihop
3523 01:27:56,880 --> 01:27:57,500
i den här
3524 01:27:57,500 --> 01:27:58,800
surjan av
3525 01:27:58,800 --> 01:28:00,320
sannolikt
3526 01:28:00,320 --> 01:28:01,740
amerikanska Malwares
3527 01:28:01,740 --> 01:28:03,080
har man några
3528 01:28:03,080 --> 01:28:03,440
liksom
3529 01:28:03,440 --> 01:28:04,400
forensiska spår
3530 01:28:04,400 --> 01:28:04,680
för det
3531 01:28:04,680 --> 01:28:05,220
eller är det bara
3532 01:28:05,220 --> 01:28:06,380
ting i luften
3533 01:28:06,380 --> 01:28:08,400
ja
3534 01:28:08,400 --> 01:28:09,800
jag skulle ju
3535 01:28:09,800 --> 01:28:10,220
naturligtvis
3536 01:28:10,220 --> 01:28:10,860
ha gjort lite mer
3537 01:28:10,860 --> 01:28:11,720
research innan
3538 01:28:11,720 --> 01:28:12,940
innan jag uttalade mig
3539 01:28:12,940 --> 01:28:13,240
men
3540 01:28:13,240 --> 01:28:14,780
jag tror återigen
3541 01:28:14,780 --> 01:28:15,480
det är att man har
3542 01:28:15,480 --> 01:28:16,480
hittat likheter
3543 01:28:16,480 --> 01:28:17,280
i kåren
3544 01:28:17,380 --> 01:28:17,760
både på
3545 01:28:17,760 --> 01:28:18,420
Come and Conquer
3546 01:28:18,420 --> 01:28:19,480
strukturer
3547 01:28:19,480 --> 01:28:20,060
och liknande
3548 01:28:20,060 --> 01:28:21,080
har vi koll på
3549 01:28:21,080 --> 01:28:21,820
spridning
3550 01:28:21,820 --> 01:28:24,340
2500 ungefär
3551 01:28:24,340 --> 01:28:24,380
väldigt lite
3552 01:28:24,380 --> 01:28:24,640
tror jag
3553 01:28:24,640 --> 01:28:25,880
precis
3554 01:28:25,880 --> 01:28:27,120
man tror att man har
3555 01:28:27,120 --> 01:28:27,820
en ganska god
3556 01:28:27,820 --> 01:28:29,520
bild av hur stort
3557 01:28:29,520 --> 01:28:29,940
det var
3558 01:28:29,940 --> 01:28:30,380
och
3559 01:28:30,380 --> 01:28:33,460
just att
3560 01:28:33,460 --> 01:28:34,540
det var ett
3561 01:28:34,540 --> 01:28:35,680
väldigt kraftigt
3562 01:28:35,680 --> 01:28:36,880
Libanon
3563 01:28:36,880 --> 01:28:37,620
fokus
3564 01:28:37,620 --> 01:28:38,920
kändes som
3565 01:28:38,920 --> 01:28:39,520
att det här
3566 01:28:39,520 --> 01:28:40,260
var en
3567 01:28:40,260 --> 01:28:41,860
man tror
3568 01:28:41,860 --> 01:28:42,340
att det har varit
3569 01:28:42,340 --> 01:28:43,160
kopplat till en
3570 01:28:43,160 --> 01:28:43,520
väldigt
3571 01:28:43,520 --> 01:28:45,020
specifik manöver
3572 01:28:45,020 --> 01:28:46,080
man har velat veta
3573 01:28:46,080 --> 01:28:46,480
vad
3574 01:28:46,480 --> 01:28:47,360
de här
3575 01:28:47,380 --> 01:28:48,380
händer i Libanon
3576 01:28:48,380 --> 01:28:49,200
och speciellt
3577 01:28:49,200 --> 01:28:49,640
ibland
3578 01:28:49,640 --> 01:28:51,200
de som flyttar runt
3579 01:28:51,200 --> 01:28:52,180
pengar i Libanon
3580 01:28:52,180 --> 01:28:54,500
vad snackar vi för tid här
3581 01:28:54,500 --> 01:28:55,380
är det utvecklat
3582 01:28:55,380 --> 01:28:56,240
när spredsten
3583 01:28:56,240 --> 01:28:57,260
hittades det
3584 01:28:57,260 --> 01:28:59,260
någon som hittar
3585 01:28:59,260 --> 01:28:59,720
något på
3586 01:28:59,720 --> 01:29:00,760
snabba datamaskiner
3587 01:29:00,760 --> 01:29:01,940
2011
3588 01:29:01,940 --> 01:29:03,420
hittades det
3589 01:29:03,420 --> 01:29:06,400
vi ska se här
3590 01:29:06,400 --> 01:29:09,220
augusti september
3591 01:29:09,220 --> 01:29:09,720
2011
3592 01:29:09,720 --> 01:29:10,960
tror man att det
3593 01:29:10,960 --> 01:29:11,300
började
3594 01:29:11,300 --> 01:29:12,440
startade operationen
3595 01:29:12,440 --> 01:29:12,840
Gauss
3596 01:29:12,840 --> 01:29:15,060
och när hittade man det
3597 01:29:15,060 --> 01:29:15,880
men det var ju
3598 01:29:15,880 --> 01:29:16,820
för ett eller två år
3599 01:29:16,820 --> 01:29:16,960
sedan
3600 01:29:16,960 --> 01:29:17,280
och det var
3601 01:29:17,380 --> 01:29:18,540
ska vi se
3602 01:29:18,540 --> 01:29:19,440
september 2011
3603 01:29:19,440 --> 01:29:20,300
så gick Crisis
3604 01:29:20,300 --> 01:29:21,420
ut och sa att de hade
3605 01:29:21,420 --> 01:29:22,820
hittat Gauss
3606 01:29:22,820 --> 01:29:23,520
okej men
3607 01:29:23,520 --> 01:29:25,000
nej det stämmer inte alls
3608 01:29:25,000 --> 01:29:25,900
nej det var dukig
3609 01:29:25,900 --> 01:29:27,500
läs lite snabbt där
3610 01:29:27,500 --> 01:29:28,020
det är ju
3611 01:29:28,020 --> 01:29:28,900
multiplattform
3612 01:29:28,900 --> 01:29:30,100
det är ju vackert
3613 01:29:30,100 --> 01:29:31,880
det kanske det är
3614 01:29:31,880 --> 01:29:32,100
ja
3615 01:29:32,100 --> 01:29:33,000
supports
3616 01:29:33,000 --> 01:29:33,580
Windows
3617 01:29:33,580 --> 01:29:34,460
Mac OS X
3618 01:29:34,460 --> 01:29:35,320
and Linux
3619 01:29:35,320 --> 01:29:36,160
woosh
3620 01:29:36,160 --> 01:29:37,540
man i kontrollinfrastrukturen
3621 01:29:37,540 --> 01:29:39,140
stängdes ner i juli 2012
3622 01:29:39,140 --> 01:29:40,380
ja just det
3623 01:29:40,380 --> 01:29:41,740
ja det var strax
3624 01:29:41,740 --> 01:29:42,380
efter Flame
3625 01:29:42,380 --> 01:29:42,820
då man hör
3626 01:29:42,820 --> 01:29:44,480
det verkar
3627 01:29:44,480 --> 01:29:45,520
utifrån vad jag läser här
3628 01:29:45,520 --> 01:29:46,880
så skriver de flesta
3629 01:29:46,880 --> 01:29:47,340
att
3630 01:29:47,340 --> 01:29:48,400
det verkar vara samma gubbar
3631 01:29:48,400 --> 01:29:49,400
som Flame
3632 01:29:49,400 --> 01:29:49,720
ja
3633 01:29:49,720 --> 01:29:52,580
det finns vissa bryster
3634 01:29:52,580 --> 01:29:52,940
jag tar
3635 01:29:52,940 --> 01:29:53,940
delad källkod
3636 01:29:53,940 --> 01:29:54,360
mellan
3637 01:29:54,360 --> 01:29:55,400
mellan sådana här
3638 01:29:55,400 --> 01:29:55,720
ops
3639 01:29:55,720 --> 01:29:57,300
ja
3640 01:29:57,300 --> 01:29:59,040
och det bestämde det där också
3641 01:29:59,040 --> 01:30:00,400
utifrån vad jag läste mig till
3642 01:30:00,400 --> 01:30:00,800
att
3643 01:30:00,800 --> 01:30:01,820
namnet Gauss
3644 01:30:01,820 --> 01:30:02,500
har fått till att man har
3645 01:30:02,500 --> 01:30:02,780
tydligen
3646 01:30:02,780 --> 01:30:04,320
gjort referenser
3647 01:30:04,320 --> 01:30:05,420
till kända matematiker
3648 01:30:05,420 --> 01:30:06,120
i källkoden
3649 01:30:06,120 --> 01:30:07,220
bland annat
3650 01:30:07,220 --> 01:30:08,580
Gauss
3651 01:30:08,580 --> 01:30:11,440
nu har vi ju
3652 01:30:11,440 --> 01:30:12,220
en intressant situation
3653 01:30:12,220 --> 01:30:12,800
för vi har ju
3654 01:30:12,800 --> 01:30:14,060
lättfyllt en timme nu
3655 01:30:14,060 --> 01:30:15,460
ska vi fortsätta
3656 01:30:15,460 --> 01:30:17,180
jag tycker att vi avslutar
3657 01:30:17,180 --> 01:30:18,400
där och så lämnar vi
3658 01:30:18,400 --> 01:30:19,840
APT-erna
3659 01:30:19,840 --> 01:30:20,440
och
3660 01:30:20,440 --> 01:30:21,660
Towerna
3661 01:30:21,660 --> 01:30:23,220
till en annan gång
3662 01:30:23,220 --> 01:30:23,980
till en annan gång
3663 01:30:23,980 --> 01:30:24,300
för det
3664 01:30:24,300 --> 01:30:25,880
det kanske blir mer
3665 01:30:25,880 --> 01:30:26,720
en diskussion
3666 01:30:26,720 --> 01:30:27,680
om hackergrupper då
3667 01:30:27,680 --> 01:30:29,060
ja vi kan ju köra
3668 01:30:29,060 --> 01:30:30,340
en uppföljningstema
3669 01:30:30,340 --> 01:30:30,920
avsnitt kring
3670 01:30:30,920 --> 01:30:32,340
icke-amerikanska
3671 01:30:32,340 --> 01:30:33,260
operatörer
3672 01:30:33,260 --> 01:30:34,000
eller någonting annat
3673 01:30:34,000 --> 01:30:35,400
man vet ju inte riktigt
3674 01:30:35,400 --> 01:30:36,380
var det är
3675 01:30:36,380 --> 01:30:36,900
jag tror att
3676 01:30:36,900 --> 01:30:38,000
vi kartlägger den i svar
3677 01:30:38,000 --> 01:30:40,560
konsensus är väl
3678 01:30:40,560 --> 01:30:41,440
att det här
3679 01:30:41,440 --> 01:30:43,080
de vi har pratat om idag
3680 01:30:43,080 --> 01:30:43,540
är väl
3681 01:30:43,540 --> 01:30:45,120
produkter från
3682 01:30:45,120 --> 01:30:46,060
stora
3683 01:30:47,180 --> 01:30:48,440
jätten i väst
3684 01:30:48,440 --> 01:30:48,720
ja
3685 01:30:48,720 --> 01:30:49,640
och
3686 01:30:49,640 --> 01:30:51,540
det finns väl få medgivande
3687 01:30:51,540 --> 01:30:52,260
men framförallt
3688 01:30:52,260 --> 01:30:53,260
på Stuxnet
3689 01:30:53,260 --> 01:30:54,040
så här
3690 01:30:54,040 --> 01:30:54,400
känner
3691 01:30:54,400 --> 01:30:56,240
om inte tidningarna
3692 01:30:56,240 --> 01:30:56,800
ljuger
3693 01:30:56,800 --> 01:30:57,500
så har
3694 01:30:57,500 --> 01:30:58,180
höga
3695 01:30:58,180 --> 01:30:59,440
amerikanska
3696 01:30:59,440 --> 01:31:01,020
snubbar
3697 01:31:01,020 --> 01:31:02,260
de har inte klarat
3698 01:31:02,260 --> 01:31:03,020
att avhålla käft
3699 01:31:03,020 --> 01:31:03,440
utan de
3700 01:31:03,440 --> 01:31:04,160
höga amerikanska
3701 01:31:04,160 --> 01:31:04,540
snubbar
3702 01:31:04,540 --> 01:31:05,960
de har glappat
3703 01:31:05,960 --> 01:31:06,800
för kassan
3704 01:31:06,800 --> 01:31:09,360
och det här
3705 01:31:09,360 --> 01:31:10,080
måste vi väl ändå säga
3706 01:31:10,080 --> 01:31:10,660
att det här är väl
3707 01:31:10,660 --> 01:31:12,280
de fyra fetaste
3708 01:31:12,280 --> 01:31:13,480
malwaren
3709 01:31:13,480 --> 01:31:14,120
kanske inte när det kommer
3710 01:31:14,120 --> 01:31:14,840
till spridning
3711 01:31:14,840 --> 01:31:15,320
men när det kommer
3712 01:31:15,320 --> 01:31:16,760
till hur sofistikerade
3713 01:31:16,760 --> 01:31:17,000
de är
3714 01:31:17,000 --> 01:31:17,460
hur
3715 01:31:17,460 --> 01:31:20,040
man måste erkänna
3716 01:31:20,040 --> 01:31:21,100
att även om man inte
3717 01:31:21,100 --> 01:31:22,000
går igång på malware
3718 01:31:22,000 --> 01:31:22,660
så är de
3719 01:31:22,660 --> 01:31:24,200
de är vackra
3720 01:31:24,200 --> 01:31:25,340
ur ett ingenjörsperspektiv
3721 01:31:25,340 --> 01:31:25,880
de är uteskydd
3722 01:31:25,880 --> 01:31:26,980
ja men se så
3723 01:31:26,980 --> 01:31:28,140
det knäppet
3724 01:31:28,140 --> 01:31:29,080
Gauss tar till
3725 01:31:29,080 --> 01:31:29,620
för att
3726 01:31:29,620 --> 01:31:30,440
för att dölja sig
3727 01:31:30,440 --> 01:31:31,120
är ju
3728 01:31:31,120 --> 01:31:32,440
det är ju inte
3729 01:31:32,440 --> 01:31:33,760
världsrevisionerande
3730 01:31:33,760 --> 01:31:34,540
det är cool
3731 01:31:34,540 --> 01:31:35,460
alltså
3732 01:31:35,460 --> 01:31:36,220
det är en
3733 01:31:36,220 --> 01:31:37,660
det är en
3734 01:31:37,660 --> 01:31:38,440
det är en cool idé
3735 01:31:38,440 --> 01:31:39,440
men
3736 01:31:39,440 --> 01:31:40,680
den har varit omskriven
3737 01:31:40,680 --> 01:31:41,140
tidigare
3738 01:31:41,140 --> 01:31:41,800
långt innan
3739 01:31:41,800 --> 01:31:42,520
den demonstreras
3740 01:31:42,520 --> 01:31:43,440
ute i verkligheten
3741 01:31:43,440 --> 01:31:44,780
alltså att just
3742 01:31:44,780 --> 01:31:45,040
att
3743 01:31:45,040 --> 01:31:46,740
så att bara målet
3744 01:31:46,740 --> 01:31:47,780
kan avkryptera dig
3745 01:31:47,780 --> 01:31:52,380
flame är ju liksom
3746 01:31:52,380 --> 01:31:54,800
de är ju coola
3747 01:31:54,800 --> 01:31:56,560
alltså även om
3748 01:31:56,560 --> 01:31:58,240
även om
3749 01:31:58,240 --> 01:31:59,340
de här
3750 01:31:59,340 --> 01:32:01,240
alltså
3751 01:32:01,240 --> 01:32:02,800
MD5-attackerna
3752 01:32:02,800 --> 01:32:03,580
var demonstrerade
3753 01:32:03,580 --> 01:32:04,320
i verkligheten
3754 01:32:04,320 --> 01:32:05,100
det finns ju
3755 01:32:05,100 --> 01:32:06,480
en jättesnygg attack
3756 01:32:06,480 --> 01:32:07,780
visad på den
3757 01:32:07,780 --> 01:32:09,900
av akademikers
3758 01:32:09,900 --> 01:32:10,340
tidigare
3759 01:32:10,340 --> 01:32:11,600
då de knäckte
3760 01:32:11,600 --> 01:32:12,660
TKIC
3761 01:32:12,660 --> 01:32:13,880
och infrastrukturen
3762 01:32:13,880 --> 01:32:14,760
men
3763 01:32:14,760 --> 01:32:16,540
det är en ny
3764 01:32:16,540 --> 01:32:16,720
vackra
3765 01:32:16,720 --> 01:32:17,760
variant av attacken
3766 01:32:17,760 --> 01:32:18,160
den är
3767 01:32:18,160 --> 01:32:18,720
det är inte
3768 01:32:18,720 --> 01:32:19,420
derivat
3769 01:32:19,420 --> 01:32:21,260
den gamla attacken
3770 01:32:21,260 --> 01:32:24,660
riktigt riktigt cool
3771 01:32:24,660 --> 01:32:25,720
Stuxnet
3772 01:32:26,280 --> 01:32:27,900
är riktigt riktigt cool
3773 01:32:27,900 --> 01:32:28,480
jag tycker nästan
3774 01:32:28,480 --> 01:32:29,260
Stuxnet ändå
3775 01:32:29,260 --> 01:32:29,720
tar kakan
3776 01:32:30,300 --> 01:32:31,140
åtminstone i
3777 01:32:31,140 --> 01:32:32,620
vad man lyckades göra
3778 01:32:32,620 --> 01:32:33,300
med den
3779 01:32:33,300 --> 01:32:34,560
det är inte bekräftat
3780 01:32:34,560 --> 01:32:34,940
att man
3781 01:32:34,940 --> 01:32:36,220
lyckades
3782 01:32:36,220 --> 01:32:36,860
nej
3783 01:32:36,860 --> 01:32:37,620
men alltså
3784 01:32:37,620 --> 01:32:38,660
bara den
3785 01:32:38,660 --> 01:32:39,920
precisionen
3786 01:32:39,920 --> 01:32:40,380
den rest
3787 01:32:40,380 --> 01:32:41,060
researchen
3788 01:32:41,060 --> 01:32:41,340
som krävs
3789 01:32:41,340 --> 01:32:42,380
det finns ju ändå
3790 01:32:42,380 --> 01:32:43,540
på Stuxnet-fallet
3791 01:32:43,540 --> 01:32:44,820
så finns det ju faktiskt
3792 01:32:44,820 --> 01:32:45,820
inköpsålar
3793 01:32:45,820 --> 01:32:46,420
på en
3794 01:32:46,720 --> 01:32:47,720
helvetes massa
3795 01:32:47,720 --> 01:32:48,460
så att man får
3796 01:32:48,460 --> 01:32:49,020
jävla massa
3797 01:32:49,020 --> 01:32:49,840
de gick sönder
3798 01:32:49,840 --> 01:32:51,020
på löpande band alltså
3799 01:32:51,020 --> 01:32:51,520
okej
3800 01:32:51,520 --> 01:32:52,620
det har man kunnat påvisa
3801 01:32:52,620 --> 01:32:54,020
att de har köpt in
3802 01:32:54,020 --> 01:32:55,600
en jävla massa
3803 01:32:55,600 --> 01:32:56,340
ja men då gick det
3804 01:32:56,340 --> 01:32:57,120
trasigt man tror
3805 01:32:57,120 --> 01:32:58,380
så det kan man nog
3806 01:32:58,380 --> 01:32:58,700
nästan inte
3807 01:32:58,700 --> 01:32:59,120
efter att
3808 01:32:59,120 --> 01:32:59,700
ja
3809 01:32:59,700 --> 01:33:00,540
och det är ju där
3810 01:33:00,540 --> 01:33:00,920
man har gjort
3811 01:33:00,920 --> 01:33:01,480
estimaten
3812 01:33:01,480 --> 01:33:03,340
att det ställde
3813 01:33:03,340 --> 01:33:04,860
tillbaka på 72 år
3814 01:33:04,860 --> 01:33:05,980
på grund av detta
3815 01:33:05,980 --> 01:33:07,380
att kostnaderna
3816 01:33:07,380 --> 01:33:07,780
har ökat
3817 01:33:07,780 --> 01:33:08,400
just med
3818 01:33:08,400 --> 01:33:09,560
de bytte ju ut allt
3819 01:33:09,560 --> 01:33:10,120
de hittade ju
3820 01:33:10,120 --> 01:33:10,300
ingenting
3821 01:33:10,300 --> 01:33:10,780
i och med att
3822 01:33:10,780 --> 01:33:11,520
systemet är så
3823 01:33:11,520 --> 01:33:13,160
sofistikerat
3824 01:33:13,160 --> 01:33:14,320
att det är återkopplat
3825 01:33:14,320 --> 01:33:15,000
till operatören
3826 01:33:15,000 --> 01:33:15,640
och allt
3827 01:33:15,640 --> 01:33:16,000
hej
3828 01:33:16,000 --> 01:33:16,720
allt är bra
3829 01:33:16,720 --> 01:33:17,580
jag menar det
3830 01:33:17,580 --> 01:33:18,360
kollar man på alla
3831 01:33:18,360 --> 01:33:19,500
de här tre
3832 01:33:19,500 --> 01:33:20,140
och de är ju ändå
3833 01:33:20,140 --> 01:33:20,440
bara
3834 01:33:20,440 --> 01:33:21,660
eller bara
3835 01:33:21,660 --> 01:33:23,820
bara informationsupphämtning
3836 01:33:23,820 --> 01:33:25,320
och det är ju coolt
3837 01:33:25,320 --> 01:33:26,220
de är ju modulära
3838 01:33:26,220 --> 01:33:26,920
så du kunde ju mycket
3839 01:33:26,920 --> 01:33:28,260
väl sätta på
3840 01:33:28,260 --> 01:33:29,200
en om man säger
3841 01:33:29,200 --> 01:33:30,000
för att använda
3842 01:33:30,000 --> 01:33:31,480
vapenanalogin
3843 01:33:31,480 --> 01:33:32,300
då en stridspets
3844 01:33:32,300 --> 01:33:32,440
ja
3845 01:33:32,440 --> 01:33:34,100
weaponized
3846 01:33:34,100 --> 01:33:34,720
ja precis
3847 01:33:34,720 --> 01:33:36,420
men det vi har kunnat se
3848 01:33:36,420 --> 01:33:37,360
att det med allra
3849 01:33:37,360 --> 01:33:38,940
största sannolikhet
3850 01:33:38,940 --> 01:33:39,820
faktiskt lyckades
3851 01:33:39,820 --> 01:33:40,400
vara en
3852 01:33:40,400 --> 01:33:42,220
en armed nuclear warhead
3853 01:33:42,220 --> 01:33:42,700
kan man väl säga
3854 01:33:42,700 --> 01:33:43,760
för att ta den referensen
3855 01:33:43,760 --> 01:33:44,300
smart bomb
3856 01:33:44,300 --> 01:33:44,740
i alla fall
3857 01:33:44,740 --> 01:33:46,000
det är ju
3858 01:33:46,000 --> 01:33:46,480
ja det är ett stort
3859 01:33:46,480 --> 01:33:46,540
slag
3860 01:33:46,540 --> 01:33:46,580
det är ju
3861 01:33:46,580 --> 01:33:46,600
det är ju
3862 01:33:46,600 --> 01:33:46,620
det är ju
3863 01:33:46,620 --> 01:33:46,660
det är ju
3864 01:33:46,660 --> 01:33:46,700
det är ju
3865 01:33:46,700 --> 01:33:47,280
och det är coolt
3866 01:33:47,280 --> 01:33:48,480
Stuxnet slog
3867 01:33:48,480 --> 01:33:49,280
ditt värde
3868 01:33:49,280 --> 01:33:50,620
ner på datorn
3869 01:33:50,620 --> 01:33:52,240
och det är
3870 01:33:52,240 --> 01:33:53,680
alltså
3871 01:33:53,680 --> 01:33:54,640
det är svårt
3872 01:33:54,640 --> 01:33:56,040
jag kan inte erhela
3873 01:33:56,040 --> 01:33:57,040
mig i något fall
3874 01:33:57,040 --> 01:33:58,020
innan Stuxnet
3875 01:33:58,020 --> 01:33:59,060
när jag har hört om det här
3876 01:33:59,060 --> 01:33:59,280
alltså
3877 01:33:59,280 --> 01:34:00,080
på
3878 01:34:00,080 --> 01:34:01,960
fler capsula flags
3879 01:34:01,960 --> 01:34:02,500
och sånt
3880 01:34:02,500 --> 01:34:02,860
övningar
3881 01:34:02,860 --> 01:34:03,460
så har det ju varit
3882 01:34:03,460 --> 01:34:03,760
liksom
3883 01:34:03,760 --> 01:34:04,620
om du ska komma åt
3884 01:34:04,620 --> 01:34:05,600
en kontrollenhet
3885 01:34:05,600 --> 01:34:06,100
på
3886 01:34:06,100 --> 01:34:07,620
enda
3887 01:34:07,620 --> 01:34:09,080
landhuset
3888 01:34:09,080 --> 01:34:09,980
så har ju varit
3889 01:34:09,980 --> 01:34:11,280
inte helt ovanligt
3890 01:34:11,280 --> 01:34:12,060
på gamla
3891 01:34:12,060 --> 01:34:12,760
har det inte funnits
3892 01:34:12,760 --> 01:34:13,700
med det som har
3893 01:34:13,700 --> 01:34:14,060
typ
3894 01:34:14,060 --> 01:34:15,460
overclockat grejer
3895 01:34:15,460 --> 01:34:16,100
för att skada
3896 01:34:16,100 --> 01:34:16,640
interna
3897 01:34:16,640 --> 01:34:17,220
för att
3898 01:34:17,220 --> 01:34:18,760
för att göra sönder
3899 01:34:18,760 --> 01:34:19,940
den lokala datorn
3900 01:34:19,940 --> 01:34:21,420
finns det exempel på
3901 01:34:21,420 --> 01:34:22,560
alltså alltifrån
3902 01:34:22,560 --> 01:34:24,140
bara skriva sönder
3903 01:34:24,140 --> 01:34:24,420
det var videos
3904 01:34:24,420 --> 01:34:27,160
det var väl
3905 01:34:27,160 --> 01:34:28,420
hv-reset
3906 01:34:28,420 --> 01:34:29,000
som förstörde
3907 01:34:29,000 --> 01:34:29,680
videos
3908 01:34:29,680 --> 01:34:31,360
delar
3909 01:34:31,360 --> 01:34:31,700
och sånt
3910 01:34:31,700 --> 01:34:31,880
alltså
3911 01:34:31,880 --> 01:34:34,100
förstör den lokala datorn
3912 01:34:34,100 --> 01:34:35,020
eller finns det en del
3913 01:34:35,020 --> 01:34:35,680
som förstör den
3914 01:34:35,680 --> 01:34:36,960
det har vi sett innan
3915 01:34:36,960 --> 01:34:37,800
men
3916 01:34:37,800 --> 01:34:38,820
Stuxnet
3917 01:34:38,820 --> 01:34:39,400
är
3918 01:34:39,400 --> 01:34:41,120
även om man har sett
3919 01:34:41,120 --> 01:34:41,920
typ
3920 01:34:41,920 --> 01:34:43,280
enda lampor
3921 01:34:43,280 --> 01:34:43,720
och liknande
3922 01:34:43,720 --> 01:34:44,660
det är en del
3923 01:34:44,660 --> 01:34:45,200
som är exempel
3924 01:34:45,200 --> 01:34:45,740
på det
3925 01:34:45,740 --> 01:34:45,980
men
3926 01:34:45,980 --> 01:34:46,620
Stuxnet
3927 01:34:46,620 --> 01:34:47,320
det är riktigt
3928 01:34:47,320 --> 01:34:48,240
det är
3929 01:34:48,240 --> 01:34:50,060
barnast
3930 01:34:50,060 --> 01:34:50,900
eller stadsbord
3931 01:34:50,900 --> 01:34:51,600
eller vad vi kallar det
3932 01:34:51,600 --> 01:34:51,840
som
3933 01:34:51,840 --> 01:34:53,720
som slår till
3934 01:34:53,720 --> 01:34:54,360
mot världen
3935 01:34:54,360 --> 01:34:55,900
innanför datorn
3936 01:34:55,900 --> 01:34:57,320
det är nog
3937 01:34:57,320 --> 01:34:59,320
men jag minnar
3938 01:34:59,320 --> 01:34:59,540
nej
3939 01:34:59,540 --> 01:35:00,000
vad fan
3940 01:35:00,000 --> 01:35:00,940
alltså
3941 01:35:00,940 --> 01:35:02,020
vi har aldrig sett
3942 01:35:02,020 --> 01:35:02,880
Resident Evil
3943 01:35:02,880 --> 01:35:03,980
visst tusan
3944 01:35:03,980 --> 01:35:04,600
vill man slå till
3945 01:35:04,600 --> 01:35:05,260
mot hissarna
3946 01:35:05,260 --> 01:35:05,600
liksom
3947 01:35:05,600 --> 01:35:06,140
och ha någon
3948 01:35:06,140 --> 01:35:08,020
söt liten babyröst
3949 01:35:08,020 --> 01:35:09,160
som förklarar för alla
3950 01:35:09,160 --> 01:35:09,920
att de kommer dö
3951 01:35:09,920 --> 01:35:10,600
jag menar
3952 01:35:10,600 --> 01:35:11,000
ja
3953 01:35:11,000 --> 01:35:12,620
hemautomation
3954 01:35:12,620 --> 01:35:13,240
det är nästa
3955 01:35:13,240 --> 01:35:14,060
det är nästa
3956 01:35:14,060 --> 01:35:15,100
vad fan
3957 01:35:15,100 --> 01:35:15,840
och det är då
3958 01:35:15,840 --> 01:35:16,280
vi behöver
3959 01:35:16,280 --> 01:35:17,040
vara luvaskript
3960 01:35:17,040 --> 01:35:17,480
det är dags
3961 01:35:17,480 --> 01:35:18,400
att runda av
3962 01:35:18,400 --> 01:35:18,680
tyvärr
3963 01:35:18,680 --> 01:35:19,420
ja jag tror det
3964 01:35:19,420 --> 01:35:20,180
det får vara
3965 01:35:20,180 --> 01:35:20,640
räcka med
3966 01:35:20,640 --> 01:35:21,060
Angry Birds
3967 01:35:21,060 --> 01:35:21,480
för dagen
3968 01:35:21,480 --> 01:35:22,040
jag tror det
3969 01:35:22,040 --> 01:35:22,340
men
3970 01:35:22,340 --> 01:35:23,400
det här var grymt
3971 01:35:23,400 --> 01:35:24,120
vi kommer slänga upp
3972 01:35:24,120 --> 01:35:24,440
länkar
3973 01:35:24,440 --> 01:35:25,100
så fort vi
3974 01:35:25,100 --> 01:35:26,420
pallar
3975 01:35:26,420 --> 01:35:27,180
ja
3976 01:35:27,180 --> 01:35:30,540
så
3977 01:35:30,540 --> 01:35:31,600
tack för oss
3978 01:35:31,600 --> 01:35:32,120
den här gången
3979 01:35:32,120 --> 01:35:32,620
jag som pratade
3980 01:35:32,620 --> 01:35:33,060
till Johan
3981 01:35:33,060 --> 01:35:34,020
med Adde
3982 01:35:34,020 --> 01:35:34,380
och Erika
3983 01:35:34,380 --> 01:35:34,820
Borgfors
3984 01:35:34,820 --> 01:35:36,380
Jesper Larsson
3985 01:35:36,380 --> 01:35:37,400
Mattias
3986 01:35:37,400 --> 01:35:39,060
och som vanligt
3987 01:35:39,060 --> 01:35:40,220
Peter Magnusson
3988 01:35:40,220 --> 01:35:40,960
hejdå
3989 01:35:40,960 --> 01:35:41,940
hejdå
3990 01:35:41,940 --> 01:35:44,640
det var bra
3991 01:35:44,640 --> 01:35:45,740
det var bra
3992 01:35:46,280 --> 01:35:47,440
hejdå
3993 01:35:47,440 --> 01:35:54,860
hejdå
3994 01:35:54,860 --> 01:35:57,020
hejdå
3995 01:35:57,020 --> 01:35:59,020
hejdå
3996 01:35:59,020 --> 01:36:02,460
hejdå
3997 01:36:02,460 --> 01:36:02,540
hejdå
3998 01:36:02,540 --> 01:36:06,800
hejdå
3999 01:36:06,800 --> 01:36:09,640
hejdå
4000 01:36:09,640 --> 01:36:09,840
hejdå
4001 01:36:09,840 --> 01:36:11,800
hejdå
4002 01:36:11,800 --> 01:36:12,040
hejdå
4003 01:36:12,040 --> 01:36:12,060
hejdå
4004 01:36:12,060 --> 01:36:16,020
hejdå
4005 01:36:16,020 --> 01:36:16,180
me
4006 01:36:16,180 --> 01:36:16,240
me
4007 01:36:16,240 --> 01:36:46,220
Textning.nu