Säkerhetspodcasten #230 - Testa nya saker
Lyssna
- mp3, längd: 01:10:03
Innehåll
I dagens avsnitt diskuterar panelen hur man bör tänka när man ska angripa ett nytt och okänt mål. Vilka penteststandarder kan vara till hjälp? Hur ska man lägga upp sin metodik? Vad är viktigt att tänka på så att man inte missar något? Detta och mycket mer.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:02,000
Hej och välkommen till Säkerhets på gasen.
2 00:00:02,000 --> 00:00:04,000
Jag har pratat med Johan Ribermöller.
3 00:00:04,000 --> 00:00:06,000
Med mig har jag och Mattias idag.
4 00:00:06,000 --> 00:00:07,000
Skål Tommy Fan.
5 00:00:07,000 --> 00:00:08,000
Peter Magnusson.
6 00:00:08,000 --> 00:00:09,000
Den Fantastiske.
7 00:00:09,000 --> 00:00:10,000
Jesper Larsson.
8 00:00:10,000 --> 00:00:11,000
Micha.
9 00:00:11,000 --> 00:00:12,000
Och Rickard Bordfors.
10 00:00:12,000 --> 00:00:15,000
Som precis häller upp något gott i glaset.
11 00:00:15,000 --> 00:00:17,000
Med oss på länk ska vi nämna.
12 00:00:19,000 --> 00:00:20,000
Sitter i Stockholm.
13 00:00:20,000 --> 00:00:21,000
På tal om gott i glaset.
14 00:00:21,000 --> 00:00:22,000
Nej, inte än.
15 00:00:22,000 --> 00:00:23,000
Nej.
16 00:00:23,000 --> 00:00:26,000
Vi ska nämna att vi är sponsrade idag som vanligt av Assured.
17 00:00:26,000 --> 00:00:29,000
Som ni hittar mer om på assured.se.
18 00:00:29,000 --> 00:00:31,000
Sponserad av Norges Öra som finns på norgesöra.se.
19 00:00:31,000 --> 00:00:35,000
Och Bordfors Consulting som bor på bordfors.se.
20 00:00:35,000 --> 00:00:37,000
Och idag har vi även fått lite ölspons.
21 00:00:37,000 --> 00:00:38,000
Stämmer det?
22 00:00:38,000 --> 00:00:39,000
Av ett företag som heter vadå Jesper?
23 00:00:39,000 --> 00:00:40,000
OneWin.
24 00:00:40,000 --> 00:00:42,000
De tyckte att det var alldeles för nyktert.
25 00:00:42,000 --> 00:00:44,000
Så de skickade dit en kassa öl.
26 00:00:44,000 --> 00:00:47,000
Och tackade för att vi håller på.
27 00:00:48,000 --> 00:00:52,000
Jag tackar just nu för en majonas höstale.
28 00:00:52,000 --> 00:00:54,000
Som sitter i min hand.
29 00:00:54,000 --> 00:00:55,000
Det såg bra ut.
30 00:00:55,000 --> 00:00:56,000
Vi tackar ju OneWin för detta.
31 00:00:56,000 --> 00:00:58,000
Det låter väldigt gott.
32 00:00:58,000 --> 00:01:01,000
Och jag får nog gå ner och ta mig en pils sen när vi är färdiga här.
33 00:01:01,000 --> 00:01:02,000
Ja visst.
34 00:01:02,000 --> 00:01:03,000
OneWin hittar man.
35 00:01:03,000 --> 00:01:05,000
Det är ett göteborgsbaserat bolag.
36 00:01:05,000 --> 00:01:07,000
Som jobbar med…
37 00:01:07,000 --> 00:01:08,000
Ytisäkerhet.
38 00:01:08,000 --> 00:01:09,000
Ytisäkerhet.
39 00:01:09,000 --> 00:01:10,000
Konstigt.
40 00:01:10,000 --> 00:01:11,000
Det hade varit jäkligt kul om det var en byggfirma.
41 00:01:11,000 --> 00:01:12,000
Men det är det inte.
42 00:01:12,000 --> 00:01:13,000
Utan de jobbar med ytisäkerhet.
43 00:01:13,000 --> 00:01:17,000
Och jag antar att de vill att ni checkar in deras hemsida.
44 00:01:17,000 --> 00:01:20,000
Ni hittar den på onewin.se.
45 00:01:20,000 --> 00:01:21,000
Nice.
46 00:01:21,000 --> 00:01:22,000
Mer sånt.
47 00:01:22,000 --> 00:01:24,000
Vad är OneWin?
48 00:01:24,000 --> 00:01:26,000
Jag menar att de är ett ytisäkerhetsföretag.
49 00:01:26,000 --> 00:01:27,000
Är de konsulter för oss?
50 00:01:27,000 --> 00:01:30,000
Eller är de en livstidsrörelse?
51 00:01:30,000 --> 00:01:32,000
Livstidsbolag inom ytisäkerhet.
52 00:01:32,000 --> 00:01:36,000
Jag tror att de fokuserar på Microsofts säkerhet.
53 00:01:36,000 --> 00:01:38,000
Och lite incident response och sådär.
54 00:01:38,000 --> 00:01:40,000
Så man har lite socktjänster och sådär.
55 00:01:40,000 --> 00:01:41,000
Soft.
56 00:01:41,000 --> 00:01:44,000
Så är ni taggade så checka dem ut.
57 00:01:44,000 --> 00:01:45,000
De har bra öl.
58 00:01:45,000 --> 00:01:46,000
Ja, var det det eller?
59 00:01:46,000 --> 00:01:47,000
Var det bra öl?
60 00:01:47,000 --> 00:01:48,000
Dubbeltumme för mig.
61 00:01:48,000 --> 00:01:49,000
Dubbeltumme.
62 00:01:49,000 --> 00:01:51,000
De syns så bra i podcasten.
63 00:01:51,000 --> 00:01:53,000
Men de hörs desto bättre.
64 00:01:53,000 --> 00:01:56,000
Ja, och det här är faktiskt ett strukturerat avsnitt.
65 00:01:56,000 --> 00:01:57,000
Även fast man inte kan tro det.
66 00:01:57,000 --> 00:01:58,000
Det här är häpna.
67 00:01:58,000 --> 00:01:59,000
Så Peter.
68 00:01:59,000 --> 00:02:00,000
Jag tror inte det.
69 00:02:00,000 --> 00:02:02,000
Med tanke på hur vi började.
70 00:02:02,000 --> 00:02:07,000
Det är den nionde november när vi spelade in detta i Nordens år 2022.
71 00:02:07,000 --> 00:02:14,000
Och Peter ska ta oss vidare in i cybervärlden med dagens tema.
72 00:02:14,000 --> 00:02:16,000
Det är han som är gaming master.
73 00:02:16,000 --> 00:02:17,000
Yes.
74 00:02:17,000 --> 00:02:25,000
Min grandiosa plan här då är att vi ska prata om hur gör man ett säkerhetstest.
75 00:02:25,000 --> 00:02:36,000
Och själva grundidén är att vi ska försöka tänka tillbaks på när vi testat något som vi inte var helt komfortabla med.
76 00:02:36,000 --> 00:02:42,000
Så om vi då tänker oss att vi säger att Johan är en typisk webbenisse.
77 00:02:42,000 --> 00:02:47,000
Så skulle det kunna vara till exempel om Johan har testat någonting som inte är en webbprytel eller lite sådär.
78 00:02:47,000 --> 00:02:51,000
Så att det här är konceptidén för mig.
79 00:02:51,000 --> 00:02:53,000
Lite privat att dela i podcasten bara.
80 00:02:53,000 --> 00:02:54,000
Ja.
81 00:02:54,000 --> 00:02:57,000
Det kan bli bra TV.
82 00:02:57,000 --> 00:02:59,000
Det gick över ditt huvud men det går bra.
83 00:02:59,000 --> 00:03:01,000
Sen att vi inte har kameror bara.
84 00:03:01,000 --> 00:03:06,000
Vem vill börja då? Har du struktur Peter?
85 00:03:06,000 --> 00:03:09,000
Eller något det måste innehålla?
86 00:03:09,000 --> 00:03:20,000
Jag tänkte att vi ska snacka om metodik och gå den seriösa hårda skolan med vad kloka standardmänniskor har tänkt.
87 00:03:20,000 --> 00:03:22,000
Det tänker jag att vi kan orda lite om.
88 00:03:22,000 --> 00:03:28,000
Men jag tänker att vi först pratar mer fritt liksom.
89 00:03:28,000 --> 00:03:34,000
Så jag väljer Mattias här.
90 00:03:34,000 --> 00:03:39,000
Peter myntade också uttrycket lite mera fritt i ett strukturerat avsnitt.
91 00:03:39,000 --> 00:03:41,000
I ett strukturerat avsnitt.
92 00:03:41,000 --> 00:03:42,000
Håll i er.
93 00:03:42,000 --> 00:03:46,000
Vi har ett lagom dåligt förberett avsnitt och vi har fått öl.
94 00:03:46,000 --> 00:03:50,000
Så det här strukturerade avsnittet kommer bli sjukt strukturerat.
95 00:03:50,000 --> 00:03:57,000
Men antingen får Mattias ta en teoretiskt fall i åtanke.
96 00:03:57,000 --> 00:04:02,000
Eller så får han tänka sig tillbaka till något test han har gjort historiskt sett.
97 00:04:02,000 --> 00:04:06,000
Något säkerhetstest. Något där det var utanför komfortzonen.
98 00:04:06,000 --> 00:04:08,000
Och hur kom man över?
99 00:04:08,000 --> 00:04:11,000
Jag gillar det utanför komfortzonen för att…
100 00:04:11,000 --> 00:04:14,000
Okej, jag gör inte så mycket säkerhetstester.
101 00:04:14,000 --> 00:04:17,000
Jag har nästan aldrig gjort. För länge länge sedan så gjorde jag väldigt fler.
102 00:04:17,000 --> 00:04:18,000
Men i modern tid så gör jag väldigt få.
103 00:04:18,000 --> 00:04:21,000
Så alla säkerhetstester jag gör är utanför min komfortzon.
104 00:04:21,000 --> 00:04:24,000
Så valfritt kan jag välja nästan.
105 00:04:24,000 --> 00:04:31,000
Men jag väljer faktiskt första gången vi testade någonting så mytiskt som en ECU.
106 00:04:31,000 --> 00:04:35,000
Alltså en dator i en bil.
107 00:04:35,000 --> 00:04:37,000
Engine Control Unit.
108 00:04:37,000 --> 00:04:39,000
Eller Electronic Control Unit.
109 00:04:39,000 --> 00:04:41,000
Det behöver inte vara just en…
110 00:04:41,000 --> 00:04:45,000
Även om ECU är en ECU. Eller hur man nu vill säga på det.
111 00:04:45,000 --> 00:04:47,000
Är det en ECU i din ECU?
112 00:04:47,000 --> 00:04:50,000
Ett par av dom här ser ju ut som metallklossar liksom.
113 00:04:50,000 --> 00:04:55,000
Men att dom ser ut som metallklossar var ju kanske inte någonting som gjorde det svårare för oss egentligen.
114 00:04:55,000 --> 00:05:01,000
Men det som gjorde det här testet lite utanför komfortzonen var ju att det var ju…
115 00:05:01,000 --> 00:05:06,000
Vi visste ju inte ett skit om typ hela den här teknikstacken mer eller mindre.
116 00:05:06,000 --> 00:05:08,000
Det var ju i automotorvärlden.
117 00:05:08,000 --> 00:05:12,000
Allt den pratade med omvärlden var något mytiskt som hette CAN.
118 00:05:12,000 --> 00:05:14,000
C-A-N.
119 00:05:14,000 --> 00:05:16,000
Och att det var…
120 00:05:16,000 --> 00:05:18,000
Den enda säkerhet som fanns.
121 00:05:18,000 --> 00:05:20,000
Det var någonting som hette Security Access.
122 00:05:20,000 --> 00:05:22,000
Vad nu det var.
123 00:05:22,000 --> 00:05:24,000
Och typ…
124 00:05:24,000 --> 00:05:26,000
Applikation som pratade.
125 00:05:26,000 --> 00:05:28,000
Det var någonting som hette typ Diagnos.
126 00:05:28,000 --> 00:05:30,000
Det var ungefär det som var logiskt.
127 00:05:30,000 --> 00:05:34,000
Sen skickades det bara värden hit och dit med flit.
128 00:05:34,000 --> 00:05:38,000
Så det var ju extremt olikt allt annat.
129 00:05:38,000 --> 00:05:40,000
Det kommer man ju inte ifrån.
130 00:05:40,000 --> 00:05:42,000
Och hur man då…
131 00:05:42,000 --> 00:05:44,000
För det var ju lite det som var Peters fråga.
132 00:05:44,000 --> 00:05:46,000
Det var ju en sån här grej.
133 00:05:46,000 --> 00:05:50,000
Och i vårt fall så var det här del av ett forskningsprojekt.
134 00:05:50,000 --> 00:05:53,000
Så vi hade som tur bra tillgång till oändliga mängder dokumentation.
135 00:05:53,000 --> 00:05:55,000
Så det var egentligen…
136 00:05:55,000 --> 00:05:56,000
Som tur va?
137 00:05:56,000 --> 00:05:58,000
Ja, det var ju jobbigt och trökigt.
138 00:05:58,000 --> 00:06:02,000
Men det var ju gärna sen den enda chansen att på något sätt förstå någonting av den här…
139 00:06:02,000 --> 00:06:04,000
För det var ju verkligen en black box test alltså.
140 00:06:04,000 --> 00:06:06,000
Även om det inte var svart.
141 00:06:06,000 --> 00:06:08,000
Så var det ju verkligen så att vi hade ju ingen aning.
142 00:06:08,000 --> 00:06:10,000
Utan det var bara att läsa dokumentation och bara helvete.
143 00:06:10,000 --> 00:06:12,000
Vad som var tänkt att det skulle funka.
144 00:06:12,000 --> 00:06:16,000
Och så försöka komma med någon form av…
145 00:06:16,000 --> 00:06:18,000
Någon form av plan.
146 00:06:18,000 --> 00:06:20,000
Vad fan är det vi vill…
147 00:06:20,000 --> 00:06:22,000
Vad ser vi här i spesen som kan vara intressant?
148 00:06:22,000 --> 00:06:24,000
Vilka funktioner ser intressanta ut?
149 00:06:24,000 --> 00:06:26,000
Och då fanns det ju hjälpsamma funktioner som typ…
150 00:06:26,000 --> 00:06:28,000
Läste ut hela minnet och sådana här grejer.
151 00:06:28,000 --> 00:06:30,000
Och det var ju uppenbart intressant.
152 00:06:30,000 --> 00:06:32,000
Så det var ju sånt…
153 00:06:32,000 --> 00:06:34,000
Förarbetet gick ut på egentligen det.
154 00:06:34,000 --> 00:06:38,000
Att försöka läsa på så mycket som möjligt om de här mystiska teknikstackarna.
155 00:06:38,000 --> 00:06:40,000
Och försöka skapa sig någon idé av…
156 00:06:40,000 --> 00:06:42,000
Vilka framkomliga vägar är fint?
157 00:06:42,000 --> 00:06:44,000
Vad vill vi åstadkomma?
158 00:06:44,000 --> 00:06:46,000
Om vi lyckas med det här, vad fan vill vi åstadkomma då?
159 00:06:46,000 --> 00:06:48,000
Vad vill vi testa för någonting?
160 00:06:48,000 --> 00:06:50,000
Så ha någon slags hypotes eller något abuse case som man kan tänka sig.
161 00:06:50,000 --> 00:06:52,000
Och det kände jag var ganska viktigt faktiskt.
162 00:06:52,000 --> 00:06:54,000
Det var det som gjorde att vi hade en chans att komma framåt.
163 00:06:54,000 --> 00:06:56,000
Vi hade ett ganska tydligt mål.
164 00:06:56,000 --> 00:06:58,000
Det var den ena framgångsfaktorn.
165 00:06:58,000 --> 00:07:00,000
Den andra framgångsfaktorn var ju att…
166 00:07:00,000 --> 00:07:04,000
Som tur var så hade vi ju hjälp av folk som kunde den här skiten.
167 00:07:04,000 --> 00:07:06,000
Som jobbade med bilutveckling.
168 00:07:06,000 --> 00:07:08,000
Och förstod hur det kan funka.
169 00:07:08,000 --> 00:07:10,000
Det var ett verktyg som fanns i deras värld.
170 00:07:10,000 --> 00:07:14,000
Och då kunde de hjälpa oss att få upp en…
171 00:07:14,000 --> 00:07:16,000
Låt oss kalla det en…
172 00:07:16,000 --> 00:07:18,000
En…
173 00:07:18,000 --> 00:07:20,000
En…
174 00:07:20,000 --> 00:07:22,000
En testmiljö.
175 00:07:22,000 --> 00:07:24,000
Där vi kunde…
176 00:07:24,000 --> 00:07:28,000
Ställa tokiga frågor som egentligen inte följde spesar och sånt.
177 00:07:28,000 --> 00:07:30,000
Och det hjälpte dem med oss att få upp det.
178 00:07:30,000 --> 00:07:32,000
Utan deras hjälp så hade vi varit chanslösa.
179 00:07:32,000 --> 00:07:34,000
Då hade vi stått där med en lövpenna i handen och ett par snören.
180 00:07:34,000 --> 00:07:36,000
Och så undrat hur fan ska vi få upp det här.
181 00:07:36,000 --> 00:07:38,000
Men eftersom de hade…
182 00:07:38,000 --> 00:07:40,000
Nästan hela testharnesset klart.
183 00:07:40,000 --> 00:07:42,000
Och det enda vi la på det var lite…
184 00:07:42,000 --> 00:07:44,000
Dels våra onda hjärnor.
185 00:07:44,000 --> 00:07:46,000
Och det här med tanken att försöka bryta alla spesar som fanns.
186 00:07:46,000 --> 00:07:48,000
Och försöka utnyttja problem hela tiden.
187 00:07:48,000 --> 00:07:50,000
Och hitta…
188 00:07:50,000 --> 00:07:52,000
Saker som inte stämde.
189 00:07:52,000 --> 00:07:54,000
För det var ju ett tänk de inte var vana vid.
190 00:07:54,000 --> 00:07:56,000
Men den kombinationen. Att de kunde hjälpa oss att få upp…
191 00:07:56,000 --> 00:07:58,000
En fungerande testmiljö.
192 00:07:58,000 --> 00:08:00,000
Och vi kunde lägga på dem de ondska tankarna.
193 00:08:00,000 --> 00:08:02,000
Det var ju liksom…
194 00:08:02,000 --> 00:08:04,000
Nyckeln till framgång i det här konceptet kan vi säga.
195 00:08:04,000 --> 00:08:06,000
Och det var ganska…
196 00:08:06,000 --> 00:08:08,000
Det var rätt kort.
197 00:08:08,000 --> 00:08:10,000
Eftersom det var en del av ett forskningsprojekt.
198 00:08:10,000 --> 00:08:12,000
Så var det inte så mycket tid vi hade.
199 00:08:12,000 --> 00:08:14,000
Och för mig hade vi…
200 00:08:14,000 --> 00:08:16,000
Ett par dagar max.
201 00:08:16,000 --> 00:08:18,000
Som vi hade tillgång till testmiljön.
202 00:08:18,000 --> 00:08:20,000
Men vi lyckades i alla fall.
203 00:08:20,000 --> 00:08:22,000
Med att hitta…
204 00:08:22,000 --> 00:08:24,000
Låt oss säga…
205 00:08:24,000 --> 00:08:26,000
Ett problem.
206 00:08:26,000 --> 00:08:28,000
Relaterat till avsaknad av entropi.
207 00:08:28,000 --> 00:08:30,000
I en säkerhetsfunktion.
208 00:08:30,000 --> 00:08:32,000
Det hittade vi.
209 00:08:32,000 --> 00:08:34,000
Under den här perioden.
210 00:08:34,000 --> 00:08:36,000
För det var första skott.
211 00:08:36,000 --> 00:08:38,000
På en automotiv grej överhuvudtaget.
212 00:08:38,000 --> 00:08:40,000
Och sen så gjorde jag dessutom…
213 00:08:40,000 --> 00:08:42,000
Det var en success story.
214 00:08:42,000 --> 00:08:44,000
Så gjorde jag dessutom en tok fail.
215 00:08:44,000 --> 00:08:46,000
På ett ställe.
216 00:08:46,000 --> 00:08:48,000
Så fanns det liksom en…
217 00:08:48,000 --> 00:08:50,000
Ska vi säga en unik identifierare.
218 00:08:50,000 --> 00:08:52,000
Säg session cookie.
219 00:08:52,000 --> 00:08:54,000
Eller motsvarande.
220 00:08:54,000 --> 00:08:56,000
Och den var på 4 bytes.
221 00:08:56,000 --> 00:08:58,000
Alltså 32 bitar.
222 00:08:58,000 --> 00:09:00,000
Och jag konstaterade snabbt att shit vad fan.
223 00:09:00,000 --> 00:09:02,000
Det är inte mycket.
224 00:09:02,000 --> 00:09:04,000
Det är jättemånga bitar liksom.
225 00:09:04,000 --> 00:09:06,000
32 bitar är jättelite.
226 00:09:06,000 --> 00:09:08,000
Fan vi brutfåsar den. Superbra idé Mattias.
227 00:09:08,000 --> 00:09:10,000
Och jag var exalterad i säkert 10 minuter.
228 00:09:10,000 --> 00:09:12,000
Fan vad gött vi kan brutfåsa.
229 00:09:12,000 --> 00:09:14,000
Sen så insåg jag.
230 00:09:14,000 --> 00:09:16,000
32 bitar det är rätt mycket ändå.
231 00:09:16,000 --> 00:09:18,000
Och varje test.
232 00:09:18,000 --> 00:09:20,000
Tar 30 sekunder.
233 00:09:20,000 --> 00:09:22,000
Oj det är ju 2000 år.
234 00:09:22,000 --> 00:09:24,000
Så jag hade liksom.
235 00:09:24,000 --> 00:09:26,000
Rört upp en massa oväsen där.
236 00:09:26,000 --> 00:09:28,000
Vi har hittat en grym grej.
237 00:09:28,000 --> 00:09:30,000
Cool attackvektor.
238 00:09:30,000 --> 00:09:32,000
Och sen bara. Glöm det jag sa.
239 00:09:32,000 --> 00:09:34,000
Jag tänkte.
240 00:09:34,000 --> 00:09:36,000
Jag tänkte fel. Glöm det.
241 00:09:36,000 --> 00:09:38,000
The benefits of working remote.
242 00:09:38,000 --> 00:09:40,000
Ja.
243 00:09:40,000 --> 00:09:42,000
Annars är ju brickan i SU en del av liksom.
244 00:09:42,000 --> 00:09:44,000
Det är väl typ.
245 00:09:44,000 --> 00:09:46,000
Det är väl typ det det alltid är.
246 00:09:46,000 --> 00:09:48,000
Ja.
247 00:09:48,000 --> 00:09:50,000
Ja.
248 00:09:50,000 --> 00:09:52,000
Jag har en tes.
249 00:09:54,000 --> 00:09:56,000
Dels när man jobbar själv.
250 00:09:56,000 --> 00:09:58,000
Men kanske ännu mer när man jobbar ihop med folk.
251 00:09:58,000 --> 00:10:00,000
Att.
252 00:10:00,000 --> 00:10:02,000
Ganska.
253 00:10:02,000 --> 00:10:04,000
Tidigt.
254 00:10:04,000 --> 00:10:06,000
Få in findings.
255 00:10:06,000 --> 00:10:08,000
Och gärna som att vi har hittat ett säkerhetshål.
256 00:10:08,000 --> 00:10:10,000
Och det spelar ingen roll.
257 00:10:10,000 --> 00:10:12,000
Ifall det är pyttelitet eller lo.
258 00:10:12,000 --> 00:10:14,000
Eller så för att.
259 00:10:14,000 --> 00:10:16,000
Någonting jag har märkt är att.
260 00:10:16,000 --> 00:10:18,000
Ett nytt mål.
261 00:10:18,000 --> 00:10:20,000
Som man inte kan och inte är van vid.
262 00:10:20,000 --> 00:10:22,000
Så länge.
263 00:10:22,000 --> 00:10:24,000
Som.
264 00:10:24,000 --> 00:10:26,000
Man har känt sig att det finns inga hål här.
265 00:10:26,000 --> 00:10:28,000
Vi förstår inte vad vi håller på med.
266 00:10:28,000 --> 00:10:30,000
Det är nästan som om man har.
267 00:10:30,000 --> 00:10:32,000
Ett kilometer block för tankeprocessen.
268 00:10:32,000 --> 00:10:34,000
Utan att.
269 00:10:34,000 --> 00:10:36,000
Få ner någonting.
270 00:10:36,000 --> 00:10:38,000
Okej vi har tre jättefiantiga hål.
271 00:10:38,000 --> 00:10:40,000
Här kanske vi har en pytteliten infoläcka.
272 00:10:40,000 --> 00:10:42,000
Som spelar nästan ingen roll.
273 00:10:42,000 --> 00:10:44,000
Men bara ha börjat skriva de här.
274 00:10:44,000 --> 00:10:46,000
Och börja skapa en in.
275 00:10:46,000 --> 00:10:48,000
Och skapa en gemensam förståelse för att.
276 00:10:48,000 --> 00:10:50,000
Det här målet är knäckbart.
277 00:10:50,000 --> 00:10:52,000
Det är osäkert.
278 00:10:52,000 --> 00:10:54,000
Det finns hål.
279 00:10:54,000 --> 00:10:56,000
Vi kan hitta grejer här.
280 00:10:56,000 --> 00:10:58,000
Väldigt ofta känner jag.
281 00:10:58,000 --> 00:11:00,000
Ingenting är omöjligt.
282 00:11:00,000 --> 00:11:02,000
Men det kan ju vara så.
283 00:11:02,000 --> 00:11:04,000
De första två dagarna.
284 00:11:04,000 --> 00:11:06,000
Händer ingenting.
285 00:11:06,000 --> 00:11:08,000
Och så när någon har börjat skapa.
286 00:11:08,000 --> 00:11:10,000
Några små findings.
287 00:11:10,000 --> 00:11:12,000
Det här målet är trasigt.
288 00:11:12,000 --> 00:11:14,000
Vi behöver bara förstå hur trasigt det är.
289 00:11:14,000 --> 00:11:16,000
Så tenderar ganska mycket.
290 00:11:16,000 --> 00:11:18,000
Att släppa tycker jag.
291 00:11:18,000 --> 00:11:20,000
Jag har ju en skruvboll på det där.
292 00:11:20,000 --> 00:11:22,000
Jag testar ju.
293 00:11:22,000 --> 00:11:24,000
Ganska mycket av samma.
294 00:11:24,000 --> 00:11:26,000
Teknikstack.
295 00:11:26,000 --> 00:11:28,000
Till ett gäng.
296 00:11:28,000 --> 00:11:30,000
Där alla har sin.
297 00:11:30,000 --> 00:11:32,000
Sitt specialistområde.
298 00:11:32,000 --> 00:11:34,000
Och det jag känner.
299 00:11:34,000 --> 00:11:36,000
Jag vill nog säga att jag är ganska bra på det jag gör ändå.
300 00:11:36,000 --> 00:11:38,000
Men jag måste säga.
301 00:11:38,000 --> 00:11:40,000
Att jag har haft flera.
302 00:11:40,000 --> 00:11:42,000
Tester det här året.
303 00:11:42,000 --> 00:11:44,000
Där jag inte har en aning om vad jag håller på med.
304 00:11:44,000 --> 00:11:46,000
Och det är för att jag inte förstår.
305 00:11:46,000 --> 00:11:48,000
Vad produkten gör.
306 00:11:48,000 --> 00:11:50,000
Och det är roligt.
307 00:11:50,000 --> 00:11:52,000
Det är liksom.
308 00:11:52,000 --> 00:11:54,000
En ny typ av problembild för mig.
309 00:11:54,000 --> 00:11:56,000
Det gör jag helt seriöst nu.
310 00:11:56,000 --> 00:11:58,000
Jag har gjort i alla fall två test.
311 00:11:58,000 --> 00:12:00,000
Och jag har en fråga.
312 00:12:00,000 --> 00:12:02,000
Det här året bara.
313 00:12:02,000 --> 00:12:04,000
Där jag efter en veckas arbetstid.
314 00:12:04,000 --> 00:12:06,000
Fortfarande inte riktigt förstår vad det är jag ska ha det här till.
315 00:12:06,000 --> 00:12:08,000
Eller vad det gör.
316 00:12:08,000 --> 00:12:10,000
Alltså vad värdet av produkten är.
317 00:12:10,000 --> 00:12:12,000
Eller vad syftet är.
318 00:12:12,000 --> 00:12:14,000
Jag testade någon NFT.
319 00:12:14,000 --> 00:12:16,000
Men du.
320 00:12:16,000 --> 00:12:18,000
Där är alla överens om att vi vet inte.
321 00:12:18,000 --> 00:12:20,000
Men det blir liksom.
322 00:12:20,000 --> 00:12:22,000
Det blir värre än så.
323 00:12:22,000 --> 00:12:24,000
Jag vet ingenting om NFT.
324 00:12:24,000 --> 00:12:26,000
Men det var någon så här.
325 00:12:26,000 --> 00:12:28,000
Backad NFT ledger.
326 00:12:28,000 --> 00:12:30,000
Hittepågrej.
327 00:12:30,000 --> 00:12:32,000
Men massa. Det såg liksom jätteseriöst ut.
328 00:12:32,000 --> 00:12:34,000
Det känns som att någon har gått in på en så här.
329 00:12:34,000 --> 00:12:36,000
Slumpgenerator.
330 00:12:36,000 --> 00:12:38,000
För.
331 00:12:38,000 --> 00:12:40,000
Web3 business.
332 00:12:40,000 --> 00:12:42,000
Så här bara.
333 00:12:42,000 --> 00:12:44,000
How to get VC money 2022.
334 00:12:44,000 --> 00:12:46,000
Buzzword generator.
335 00:12:46,000 --> 00:12:48,000
Och så in i det där webbsnöret bara så här.
336 00:12:48,000 --> 00:12:50,000
Ja man kan ladda upp något här.
337 00:12:50,000 --> 00:12:52,000
Man kan generera någon hash här.
338 00:12:52,000 --> 00:12:54,000
Man kan göra alltså så här.
339 00:12:54,000 --> 00:12:56,000
Ja det finns alltid.
340 00:12:56,000 --> 00:12:58,000
Säkert.
341 00:12:58,000 --> 00:13:00,000
Men då blir det så här.
342 00:13:00,000 --> 00:13:02,000
För mig blir det så här. Okej.
343 00:13:02,000 --> 00:13:04,000
Logik buggar här.
344 00:13:04,000 --> 00:13:06,000
Ja nej det kommer vi nog inte foka på.
345 00:13:06,000 --> 00:13:08,000
För jag vet inte ens vad logiken bakom det här är.
346 00:13:08,000 --> 00:13:10,000
Jag förstår inte.
347 00:13:10,000 --> 00:13:12,000
Så jag lutar ju alltid tillbaka till det som jag kan ta på.
348 00:13:12,000 --> 00:13:14,000
Teknikmässigt då.
349 00:13:14,000 --> 00:13:16,000
Vad är det här.
350 00:13:16,000 --> 00:13:18,000
Man får hitta på en egen typ av metodi.
351 00:13:18,000 --> 00:13:20,000
Eller metod heter väl det på svenska.
352 00:13:20,000 --> 00:13:22,000
Methodology.
353 00:13:22,000 --> 00:13:24,000
Metodik.
354 00:13:24,000 --> 00:13:26,000
Kring det man kan.
355 00:13:26,000 --> 00:13:28,000
Och så utgår därifrån.
356 00:13:28,000 --> 00:13:30,000
Och så gräva lite i det lilla gemensamma nämnaren.
357 00:13:30,000 --> 00:13:32,000
Som gör att man faktiskt sitter där och ska testa det här bygget.
358 00:13:32,000 --> 00:13:34,000
För det.
359 00:13:34,000 --> 00:13:36,000
För mig blir det så här.
360 00:13:36,000 --> 00:13:38,000
Jag har ganska svårt att kunna attackera någonting som jag inte vet vad det är.
361 00:13:38,000 --> 00:13:40,000
Förstår du vad jag tänker.
362 00:13:40,000 --> 00:13:42,000
För att applicera just det här som Mattias sa.
363 00:13:42,000 --> 00:13:44,000
Att man ska kunna kasta onbrord död på det.
364 00:13:44,000 --> 00:13:46,000
Och bjusa stackar.
365 00:13:46,000 --> 00:13:48,000
Då måste man ju veta hur det ser ut.
366 00:13:48,000 --> 00:13:50,000
Och jag kan ju ingenting om det.
367 00:13:50,000 --> 00:13:52,000
Men säg till exempel nu att vi skulle angripa.
368 00:13:52,000 --> 00:13:54,000
En NFT pryl.
369 00:13:54,000 --> 00:13:56,000
Och så startar vi i läget.
370 00:13:56,000 --> 00:13:58,000
Att vi inte ens vet.
371 00:13:58,000 --> 00:14:00,000
Vad som är värdefullt.
372 00:14:00,000 --> 00:14:02,000
Att vi liksom inte har definierat.
373 00:14:02,000 --> 00:14:04,000
Vi har inte ens definierat use caset.
374 00:14:04,000 --> 00:14:06,000
Med vad är det det ska göra.
375 00:14:06,000 --> 00:14:08,000
Och vad är en win att göra mot systemet.
376 00:14:08,000 --> 00:14:10,000
Ja.
377 00:14:10,000 --> 00:14:12,000
Det är ju klart att det tenderar ju.
378 00:14:12,000 --> 00:14:14,000
Helt omöjligt.
379 00:14:14,000 --> 00:14:16,000
Men sen i det här fallet då.
380 00:14:16,000 --> 00:14:18,000
För att försvara min uppdragsgivare.
381 00:14:18,000 --> 00:14:20,000
Det är ju så att.
382 00:14:20,000 --> 00:14:22,000
De har ju en hotmodell.
383 00:14:22,000 --> 00:14:24,000
Som är definierad.
384 00:14:24,000 --> 00:14:26,000
På språk.
385 00:14:26,000 --> 00:14:28,000
Det är bara det att jag förstår ju inte.
386 00:14:28,000 --> 00:14:30,000
Jag har ju inte konceptförståelse nog.
387 00:14:30,000 --> 00:14:32,000
Att förstå att jag ska äta upp den där.
388 00:14:32,000 --> 00:14:34,000
Men du menar typ att det är någon kryptomatematiker.
389 00:14:34,000 --> 00:14:36,000
Som de har gett förklaringar.
390 00:14:36,000 --> 00:14:38,000
Men den är för långt borta.
391 00:14:38,000 --> 00:14:40,000
För att vanlig svensk.
392 00:14:40,000 --> 00:14:42,000
Ska fatta vad de ens menar liksom.
393 00:14:42,000 --> 00:14:44,000
Det tror jag nog.
394 00:14:44,000 --> 00:14:46,000
Nu får vi nog vara i ropet av.
395 00:14:46,000 --> 00:14:48,000
Du är en NFT ninja.
396 00:14:48,000 --> 00:14:50,000
Du har en lapa på din lira.
397 00:14:50,000 --> 00:14:52,000
Men jag tänker så här.
398 00:14:52,000 --> 00:14:54,000
Om det blir nerspesat så mycket.
399 00:14:54,000 --> 00:14:56,000
Som att.
400 00:14:56,000 --> 00:14:58,000
Nu vet jag inte.
401 00:14:58,000 --> 00:15:00,000
Säg att.
402 00:15:00,000 --> 00:15:02,000
Någon kan definiera.
403 00:15:02,000 --> 00:15:04,000
Att ett abuse case är.
404 00:15:04,000 --> 00:15:06,000
Grant NFT funktionen.
405 00:15:06,000 --> 00:15:08,000
Går igenom.
406 00:15:08,000 --> 00:15:10,000
Utan att du har betalt med dina inferior pengar.
407 00:15:10,000 --> 00:15:12,000
Precis så.
408 00:15:12,000 --> 00:15:14,000
Eller att du kan köra repeat på det.
409 00:15:14,000 --> 00:15:16,000
Eller någonting.
410 00:15:16,000 --> 00:15:18,000
Just att få det nedbrutet.
411 00:15:18,000 --> 00:15:20,000
Till nivån där man förstår.
412 00:15:20,000 --> 00:15:22,000
Att någonting spelar roll.
413 00:15:22,000 --> 00:15:24,000
Hur är det meningen att det ska fungera.
414 00:15:24,000 --> 00:15:26,000
Så som jag gjorde då.
415 00:15:26,000 --> 00:15:28,000
Det blir det.
416 00:15:28,000 --> 00:15:30,000
Du har ju de dagarna du har.
417 00:15:30,000 --> 00:15:32,000
På att etablera någon form utav.
418 00:15:32,000 --> 00:15:34,000
Idé om vad du gör.
419 00:15:34,000 --> 00:15:36,000
Men det som är universellt för det här.
420 00:15:36,000 --> 00:15:38,000
Det är just det att det är en webbstack då.
421 00:15:38,000 --> 00:15:40,000
Så där har vi ju ett gäng sårbarhetsklasser.
422 00:15:40,000 --> 00:15:42,000
Som alltid förmodligen kommer vara dåliga.
423 00:15:42,000 --> 00:15:44,000
Ja men det man riskerar att missa då.
424 00:15:44,000 --> 00:15:46,000
Som du var inne på.
425 00:15:46,000 --> 00:15:48,000
Är ju då kanske just logikbuggar.
426 00:15:48,000 --> 00:15:50,000
Som är specifika för användningsområdet.
427 00:15:50,000 --> 00:15:52,000
Det är ju fortfarande ett pentest.
428 00:15:52,000 --> 00:15:54,000
De får ju fortfarande reda på.
429 00:15:54,000 --> 00:15:56,000
Om datavalideringen är dålig.
430 00:15:56,000 --> 00:15:58,000
Det är mer tekniska problem.
431 00:15:58,000 --> 00:16:00,000
Eller hur man ska delineera det.
432 00:16:00,000 --> 00:16:02,000
Det vet jag inte riktigt.
433 00:16:02,000 --> 00:16:04,000
Men det jag vill komma till då.
434 00:16:04,000 --> 00:16:06,000
När man slår ihop säcken.
435 00:16:06,000 --> 00:16:08,000
Det gäller ju att man är överens.
436 00:16:08,000 --> 00:16:10,000
Med beställaren.
437 00:16:10,000 --> 00:16:12,000
Vad det är man levererar här.
438 00:16:12,000 --> 00:16:14,000
Gör man någonting.
439 00:16:14,000 --> 00:16:16,000
Jag är jättefamiljär med hela teknik stacken.
440 00:16:16,000 --> 00:16:18,000
Jag är jättebra på det.
441 00:16:18,000 --> 00:16:20,000
Men jag.
442 00:16:20,000 --> 00:16:22,000
Har ju ingen idé om use caset.
443 00:16:22,000 --> 00:16:24,000
Lite som Mattias är.
444 00:16:24,000 --> 00:16:26,000
Det funkar ju bara för att ni hade någon.
445 00:16:26,000 --> 00:16:28,000
Som kunde introducera er.
446 00:16:28,000 --> 00:16:30,000
Och ge er teknik stacks kompetens.
447 00:16:30,000 --> 00:16:32,000
Annars hade ju ni varit helt.
448 00:16:32,000 --> 00:16:34,000
Out in the dark.
449 00:16:34,000 --> 00:16:36,000
Och där är ju ett problem att.
450 00:16:36,000 --> 00:16:38,000
Ni gör ju så gott ni kan såklart.
451 00:16:38,000 --> 00:16:40,000
Men beställaren vaskar ju de pengarna.
452 00:16:40,000 --> 00:16:42,000
Men de vet ju inte riktigt vad de får.
453 00:16:42,000 --> 00:16:44,000
Då skulle jag vilja flika in en grej där.
454 00:16:44,000 --> 00:16:46,000
Och den är inte riktigt relaterad.
455 00:16:46,000 --> 00:16:48,000
Det är inte säkerhetstestning.
456 00:16:48,000 --> 00:16:50,000
Jag förväntar mig inte det.
457 00:16:50,000 --> 00:16:52,000
Men det här med.
458 00:16:52,000 --> 00:16:54,000
Liksom.
459 00:16:54,000 --> 00:16:56,000
Att kunna ge sig på.
460 00:16:56,000 --> 00:16:58,000
En teknik stack.
461 00:16:58,000 --> 00:17:00,000
Som man inte har en jävla aning om.
462 00:17:00,000 --> 00:17:02,000
Hur den funkar.
463 00:17:02,000 --> 00:17:04,000
Ja det har du och jag gjort ganska mycket dock.
464 00:17:04,000 --> 00:17:06,000
Och det förstår jag.
465 00:17:06,000 --> 00:17:08,000
Det jag menar är såhär.
466 00:17:08,000 --> 00:17:10,000
Jag.
467 00:17:10,000 --> 00:17:12,000
Jag kan liksom.
468 00:17:12,000 --> 00:17:14,000
IT forensik.
469 00:17:14,000 --> 00:17:16,000
Liksom processen.
470 00:17:16,000 --> 00:17:18,000
Hur man tänker.
471 00:17:18,000 --> 00:17:20,000
Hur man jobbar och allting sånt där.
472 00:17:20,000 --> 00:17:22,000
Jag rokade ut för ett fall.
473 00:17:22,000 --> 00:17:24,000
Där vi hade intrång i en.
474 00:17:24,000 --> 00:17:26,000
Stordator.
475 00:17:26,000 --> 00:17:28,000
Bra exempel.
476 00:17:28,000 --> 00:17:30,000
Jag kan inte ett jävla.
477 00:17:30,000 --> 00:17:32,000
Alltså jag har använt stordator applikationer.
478 00:17:32,000 --> 00:17:34,000
För så gammal är jag.
479 00:17:34,000 --> 00:17:36,000
Men jag kan ju ingenting.
480 00:17:36,000 --> 00:17:38,000
Om hur den funkar.
481 00:17:38,000 --> 00:17:40,000
Vad får den att ticka.
482 00:17:40,000 --> 00:17:42,000
Liksom vad kan man göra för elakheter.
483 00:17:42,000 --> 00:17:44,000
Liksom när man har.
484 00:17:44,000 --> 00:17:46,000
Alltså hur eleverar man sina privilegier.
485 00:17:46,000 --> 00:17:48,000
Inte en sportmössa.
486 00:17:48,000 --> 00:17:50,000
Men alltså de är ju.
487 00:17:50,000 --> 00:17:52,000
Men nu pratar vi mainframe.
488 00:17:52,000 --> 00:17:54,000
Skitsamma.
489 00:17:54,000 --> 00:17:56,000
Men i alla fall.
490 00:17:56,000 --> 00:17:58,000
Grejen var att jag fick ju då tag på en.
491 00:17:58,000 --> 00:18:00,000
Guru.
492 00:18:00,000 --> 00:18:02,000
På stordator.
493 00:18:02,000 --> 00:18:04,000
Som kunde liksom vara mina händer.
494 00:18:04,000 --> 00:18:06,000
Och ögon och öron.
495 00:18:06,000 --> 00:18:08,000
Får man en sidfråga för det ändå.
496 00:18:08,000 --> 00:18:10,000
Och så dirigerade jag liksom bara såhär.
497 00:18:10,000 --> 00:18:12,000
Ja men gör det här.
498 00:18:12,000 --> 00:18:14,000
Kolla detta.
499 00:18:14,000 --> 00:18:16,000
Kasta ut den här.
500 00:18:16,000 --> 00:18:18,000
För att kunna fungera.
501 00:18:18,000 --> 00:18:20,000
Enligt processen.
502 00:18:20,000 --> 00:18:22,000
Fast jag visste inte vad jag skulle göra.
503 00:18:22,000 --> 00:18:24,000
Men det visste den här personen.
504 00:18:24,000 --> 00:18:26,000
Bara en fråga Erikad.
505 00:18:26,000 --> 00:18:28,000
Den här personen.
506 00:18:28,000 --> 00:18:30,000
De går ju att räkna på fem fingrar.
507 00:18:30,000 --> 00:18:32,000
Vad tog de i timmen och hur mycket av din budget.
508 00:18:32,000 --> 00:18:34,000
Gick åt helvete för att anlita den.
509 00:18:34,000 --> 00:18:36,000
Det var inte ett problem.
510 00:18:36,000 --> 00:18:38,000
För både henne och jag.
511 00:18:38,000 --> 00:18:40,000
Var anställd på samma företag.
512 00:18:40,000 --> 00:18:42,000
Ja jag visste inte detta.
513 00:18:42,000 --> 00:18:44,000
Jag var bara tvungen att ställa den frågan.
514 00:18:44,000 --> 00:18:46,000
För att visa det repot.
515 00:18:46,000 --> 00:18:48,000
Det där är intressant alltså.
516 00:18:52,000 --> 00:18:54,000
Så det var ju.
517 00:18:54,000 --> 00:18:56,000
Väldigt väldigt spännande.
518 00:18:56,000 --> 00:18:58,000
Och liksom.
519 00:18:58,000 --> 00:19:00,000
Försöka försvara en miljö.
520 00:19:00,000 --> 00:19:02,000
Från ett pågående intrång.
521 00:19:02,000 --> 00:19:04,000
Där jag inte har kompetens.
522 00:19:04,000 --> 00:19:06,000
Att kasta ut dem.
523 00:19:06,000 --> 00:19:08,000
Men där har ju vi gjort grejer.
524 00:19:08,000 --> 00:19:10,000
Historiskt du och jag.
525 00:19:10,000 --> 00:19:12,000
Vi har hackat på kontrollsystem.
526 00:19:12,000 --> 00:19:14,000
Jag har inte haft en enda aning.
527 00:19:14,000 --> 00:19:16,000
Om vad vi håller på med.
528 00:19:16,000 --> 00:19:18,000
Men jag har ganska bra kunskap.
529 00:19:18,000 --> 00:19:20,000
Om vad det är vi gör.
530 00:19:20,000 --> 00:19:22,000
Men jag har ingen aning om vad som händer.
531 00:19:22,000 --> 00:19:24,000
Det har ju funkat ganska bra.
532 00:19:24,000 --> 00:19:26,000
Jag satt och funderade.
533 00:19:26,000 --> 00:19:28,000
När Peter drog upp detta.
534 00:19:28,000 --> 00:19:30,000
Jag kan dra upp två grejer.
535 00:19:30,000 --> 00:19:32,000
Jag har hoppat i en djup andel på poolen.
536 00:19:32,000 --> 00:19:34,000
Och varit lite osäker på.
537 00:19:34,000 --> 00:19:36,000
Om jag skulle flyta.
538 00:19:36,000 --> 00:19:38,000
Båda gångerna har du varit med.
539 00:19:38,000 --> 00:19:40,000
Fan också.
540 00:19:40,000 --> 00:19:42,000
En bank.
541 00:19:42,000 --> 00:19:44,000
Och ett ställe där det var.
542 00:19:44,000 --> 00:19:46,000
Industriella kontrollsystem inblandade.
543 00:19:46,000 --> 00:19:48,000
Och just det.
544 00:19:48,000 --> 00:19:50,000
Båda gångerna har vi dansat happy dance.
545 00:19:50,000 --> 00:19:52,000
Efter ganska kort tid.
546 00:19:52,000 --> 00:19:54,000
Man är skiträdd.
547 00:19:54,000 --> 00:19:56,000
Innan man vet.
548 00:19:56,000 --> 00:19:58,000
Kommer jag få en finding.
549 00:19:58,000 --> 00:20:00,000
Men jag tyckte det var jävligt spännande.
550 00:20:00,000 --> 00:20:02,000
Som Peter nämnde.
551 00:20:02,000 --> 00:20:04,000
Det första lilla botfästet du får.
552 00:20:04,000 --> 00:20:06,000
Den första.
553 00:20:06,000 --> 00:20:08,000
Det är en blank jävla granitvägg.
554 00:20:08,000 --> 00:20:10,000
Du står inför.
555 00:20:10,000 --> 00:20:12,000
Och så får du plötsligt grepp.
556 00:20:12,000 --> 00:20:14,000
Med nageln.
557 00:20:14,000 --> 00:20:16,000
Och då lossnar det.
558 00:20:16,000 --> 00:20:18,000
Och då bara rasar.
559 00:20:18,000 --> 00:20:20,000
Korthuset.
560 00:20:20,000 --> 00:20:22,000
Jag tror att det är ganska vanligt.
561 00:20:22,000 --> 00:20:24,000
Är det det då?
562 00:20:24,000 --> 00:20:26,000
Jag menar.
563 00:20:26,000 --> 00:20:28,000
Jag kan inte säga att jag saknar.
564 00:20:28,000 --> 00:20:30,000
Det här black box köret.
565 00:20:30,000 --> 00:20:32,000
För det är bara.
566 00:20:32,000 --> 00:20:34,000
Ett jävla grind alltså.
567 00:20:34,000 --> 00:20:36,000
Jag kommer ihåg för länge sedan.
568 00:20:36,000 --> 00:20:38,000
När vi var relativt nya buddies.
569 00:20:38,000 --> 00:20:40,000
Folk hit podcasten.
570 00:20:40,000 --> 00:20:42,000
När Johan hade bestämt sig.
571 00:20:42,000 --> 00:20:44,000
Att av någon jävla anledning.
572 00:20:44,000 --> 00:20:46,000
Skulle vi göra det på.
573 00:20:46,000 --> 00:20:48,000
Något modern och något slag.
574 00:20:48,000 --> 00:20:50,000
Det var utanför komfortzonen om något.
575 00:20:50,000 --> 00:20:52,000
Då fick vi hålla på.
576 00:20:52,000 --> 00:20:54,000
U-art. Vad är det?
577 00:20:54,000 --> 00:20:56,000
Läs här.
578 00:20:56,000 --> 00:20:58,000
Vi skaffades en jävla.
579 00:20:58,000 --> 00:21:00,000
Speciell hårdvara.
580 00:21:00,000 --> 00:21:02,000
För att kunna extrakta förmån.
581 00:21:02,000 --> 00:21:04,000
Gick det så långt?
582 00:21:04,000 --> 00:21:06,000
Pirates.
583 00:21:06,000 --> 00:21:08,000
Bas Pirates köpte jag på det.
584 00:21:08,000 --> 00:21:10,000
Var det inte så att det sammanföll med att vi var på en konferens.
585 00:21:10,000 --> 00:21:12,000
Där detta såldes.
586 00:21:12,000 --> 00:21:14,000
Typ 6T.
587 00:21:14,000 --> 00:21:16,000
Ja kanske.
588 00:21:16,000 --> 00:21:18,000
Nej det är för tidigt är det.
589 00:21:18,000 --> 00:21:20,000
Du var ju ändå chef i vår grupp då.
590 00:21:20,000 --> 00:21:22,000
Jag vet att jag hade en Bas Pirates.
591 00:21:22,000 --> 00:21:24,000
Du hade en Bas Pirates.
592 00:21:24,000 --> 00:21:26,000
Vi prövade först med en Good Fett.
593 00:21:26,000 --> 00:21:28,000
Så var det.
594 00:21:28,000 --> 00:21:30,000
Från Travis.
595 00:21:30,000 --> 00:21:32,000
Men den fick vi inte att lira.
596 00:21:32,000 --> 00:21:34,000
Men då hade jag även en Bas Pirates.
597 00:21:34,000 --> 00:21:36,000
Som vi extraherade med.
598 00:21:36,000 --> 00:21:38,000
Jag tänkte att det är bättre att du tar den.
599 00:21:38,000 --> 00:21:40,000
Då drog vi ut firmware.
600 00:21:40,000 --> 00:21:42,000
Och började gärna analys och gå igenom.
601 00:21:42,000 --> 00:21:44,000
Vi hade inte binwalk på den tiden.
602 00:21:44,000 --> 00:21:46,000
Tror jag.
603 00:21:46,000 --> 00:21:48,000
Det var ett jävla meck att få.
604 00:21:48,000 --> 00:21:50,000
Ida Pro eller vad det hade.
605 00:21:50,000 --> 00:21:52,000
Och förstå vad fan det var för binär vi hade.
606 00:21:52,000 --> 00:21:54,000
Och sitta och löda på det där.
607 00:21:54,000 --> 00:21:56,000
Det var utanför comfort zone kan jag säga.
608 00:21:56,000 --> 00:21:58,000
Men det gick jättebra.
609 00:21:58,000 --> 00:22:00,000
Där tänker jag också.
610 00:22:00,000 --> 00:22:02,000
Lärandet är ju jätteviktigt i den processen.
611 00:22:02,000 --> 00:22:04,000
Jag tänkte ta upp det.
612 00:22:04,000 --> 00:22:06,000
För att jag tycker.
613 00:22:06,000 --> 00:22:08,000
Jag nämner det som vi har varit inne på.
614 00:22:08,000 --> 00:22:10,000
Och det är inte så konstigt.
615 00:22:10,000 --> 00:22:12,000
Om man finner sig själv i ett projekt.
616 00:22:12,000 --> 00:22:14,000
Där man inte vet.
617 00:22:14,000 --> 00:22:16,000
Vad fan det handlar om.
618 00:22:16,000 --> 00:22:18,000
Skaffa dig domänkunskap.
619 00:22:18,000 --> 00:22:20,000
Av då antingen någon som kan CAN.
620 00:22:20,000 --> 00:22:22,000
I Mattias fall.
621 00:22:22,000 --> 00:22:24,000
Eller någon som kan.
622 00:22:24,000 --> 00:22:26,000
Stordatorer i Rickards fall.
623 00:22:26,000 --> 00:22:28,000
Jag hade ett sånt uppdrag.
624 00:22:28,000 --> 00:22:30,000
Nyligen där vi skulle.
625 00:22:30,000 --> 00:22:32,000
Hacka industri robotar.
626 00:22:32,000 --> 00:22:34,000
Det är ingenting.
627 00:22:34,000 --> 00:22:36,000
Som jag har gjort förut.
628 00:22:36,000 --> 00:22:38,000
Och då var det ju.
629 00:22:38,000 --> 00:22:40,000
Hur fan funkar det här?
630 00:22:40,000 --> 00:22:42,000
Var ska man börja någonstans?
631 00:22:42,000 --> 00:22:44,000
Vad är det som är dåligt i den här miljön?
632 00:22:44,000 --> 00:22:46,000
Om jag har lyckats.
633 00:22:46,000 --> 00:22:48,000
Om en angrepp har lyckats.
634 00:22:48,000 --> 00:22:50,000
Vad är det?
635 00:22:50,000 --> 00:22:52,000
Det är när man kan ta någon i örat med roboten.
636 00:22:52,000 --> 00:22:54,000
De har vunnit.
637 00:22:54,000 --> 00:22:56,000
Är det målet?
638 00:22:56,000 --> 00:22:58,000
Att på något sätt ta sig vidare i nätverket?
639 00:22:58,000 --> 00:23:00,000
Vad är attackvektorerna?
640 00:23:00,000 --> 00:23:02,000
Hur kommunicerar de här robotarna med varandra?
641 00:23:02,000 --> 00:23:04,000
Att få roboten att tvivla på sig själv.
642 00:23:04,000 --> 00:23:06,000
Och där var det ju superviktigt.
643 00:23:06,000 --> 00:23:08,000
För oss att.
644 00:23:08,000 --> 00:23:10,000
Vi gör inte det så ofta.
645 00:23:10,000 --> 00:23:12,000
På företaget jag jobbar.
646 00:23:12,000 --> 00:23:14,000
Att vi faktiskt fysiskt åker till kunden och sådär.
647 00:23:14,000 --> 00:23:16,000
Men det var superviktigt att vi gjorde det i det här fallet.
648 00:23:16,000 --> 00:23:18,000
Det var också första gången vi jobbade med dem.
649 00:23:18,000 --> 00:23:20,000
Och då är det alltid bra.
650 00:23:20,000 --> 00:23:22,000
Men då åkte vi och träffade dem och satt ner.
651 00:23:22,000 --> 00:23:24,000
I en dag med alla.
652 00:23:24,000 --> 00:23:26,000
Domänexperter från dem då.
653 00:23:26,000 --> 00:23:28,000
Jättebra ju.
654 00:23:28,000 --> 00:23:30,000
Och så fick de ta sig igenom hela.
655 00:23:30,000 --> 00:23:32,000
Bygget, all arkitektur.
656 00:23:32,000 --> 00:23:34,000
Hur det fungerar. Hur de kommunicerar.
657 00:23:34,000 --> 00:23:36,000
Vad hotmodellen är egentligen då.
658 00:23:36,000 --> 00:23:38,000
Vi gjorde lite kan man säga.
659 00:23:38,000 --> 00:23:40,000
En basic hotmodellering för oss själva.
660 00:23:40,000 --> 00:23:42,000
Men nu börjar vi snacka.
661 00:23:42,000 --> 00:23:44,000
Det där är ju ett tecken på en väldigt mogen beställare.
662 00:23:44,000 --> 00:23:46,000
Skulle jag säga.
663 00:23:46,000 --> 00:23:48,000
När det kommer som en pre-request ifrån er.
664 00:23:48,000 --> 00:23:50,000
Fan det här har vi inte gjort tidigare.
665 00:23:50,000 --> 00:23:52,000
Det här skulle vi behöva.
666 00:23:52,000 --> 00:23:54,000
Och dom säger ja.
667 00:23:54,000 --> 00:23:56,000
Det där är ju superbra.
668 00:23:56,000 --> 00:23:58,000
Ja precis.
669 00:23:58,000 --> 00:24:00,000
Inte så vanligt kanske.
670 00:24:00,000 --> 00:24:02,000
Det är ju ett tecken på att man har.
671 00:24:02,000 --> 00:24:04,000
Både en mogen beställare.
672 00:24:04,000 --> 00:24:06,000
Och en mogen.
673 00:24:06,000 --> 00:24:08,000
Vad ska man säga.
674 00:24:08,000 --> 00:24:10,000
Både uppdragsgivare och tagare då.
675 00:24:10,000 --> 00:24:12,000
Så att man kan ställa dom kraven.
676 00:24:12,000 --> 00:24:14,000
Som utförande.
677 00:24:14,000 --> 00:24:16,000
För att det här ska kunna bli bra.
678 00:24:16,000 --> 00:24:18,000
Så behöver vi göra det så här.
679 00:24:18,000 --> 00:24:20,000
Och det var ju superviktigt.
680 00:24:20,000 --> 00:24:22,000
För hade vi inte haft det.
681 00:24:22,000 --> 00:24:24,000
Så vet jag att en massa saker.
682 00:24:24,000 --> 00:24:26,000
Som följer med.
683 00:24:26,000 --> 00:24:28,000
Bara på grund av hur det här arkitekturen såg ut.
684 00:24:28,000 --> 00:24:30,000
Hade vi annars rapporterat.
685 00:24:30,000 --> 00:24:32,000
Som super allvarliga saker.
686 00:24:32,000 --> 00:24:34,000
Men som egentligen är relevanta.
687 00:24:34,000 --> 00:24:36,000
Och vad man befinner sig då.
688 00:24:36,000 --> 00:24:38,000
Det där är bra tycker jag.
689 00:24:38,000 --> 00:24:40,000
Och just det här.
690 00:24:40,000 --> 00:24:42,000
Att ha en icke dömande kultur.
691 00:24:42,000 --> 00:24:44,000
Det tror jag är jättebra.
692 00:24:44,000 --> 00:24:46,000
För det vi håller på med här är ju lärande.
693 00:24:46,000 --> 00:24:48,000
Och det är egentligen.
694 00:24:48,000 --> 00:24:50,000
Nu jobbar jag och Johan bara med offensiva pentester.
695 00:24:50,000 --> 00:24:52,000
Och det är väl det som.
696 00:24:52,000 --> 00:24:54,000
Jag har med mig av det nu.
697 00:24:54,000 --> 00:24:56,000
Jag har gjort det heltid sen.
698 00:24:56,000 --> 00:24:58,000
Om typ 2016 eller något.
699 00:24:58,000 --> 00:25:00,000
Jag har varit med ganska länge i det här gänget nu.
700 00:25:00,000 --> 00:25:02,000
Och det jag.
701 00:25:02,000 --> 00:25:04,000
Tar med mig därifrån.
702 00:25:04,000 --> 00:25:06,000
Hur taxing det är.
703 00:25:06,000 --> 00:25:08,000
För att du måste hela tiden förstå.
704 00:25:08,000 --> 00:25:10,000
Nya implementationer av samma sak.
705 00:25:10,000 --> 00:25:12,000
Vilket gör att.
706 00:25:12,000 --> 00:25:14,000
Och som du var inne på.
707 00:25:14,000 --> 00:25:16,000
Även om du kan teknik stacken.
708 00:25:16,000 --> 00:25:18,000
Så är det inte nödvändigtvis det som kommer ta dig i mål.
709 00:25:18,000 --> 00:25:20,000
Eller göra det till ett bra pentest.
710 00:25:20,000 --> 00:25:22,000
Och då är den här typen av initiativ.
711 00:25:22,000 --> 00:25:24,000
Att man kan prata dels med sin arbetsgivare.
712 00:25:24,000 --> 00:25:26,000
I det här fallet.
713 00:25:26,000 --> 00:25:28,000
Du vet ni vad.
714 00:25:28,000 --> 00:25:30,000
Vi behöver mer kunskap för att kunna göra det här.
715 00:25:30,000 --> 00:25:32,000
Och verkligen var ödmjuk i det.
716 00:25:32,000 --> 00:25:34,000
Så vill vi göra det här.
717 00:25:34,000 --> 00:25:36,000
Och det tror jag inte att vi är så bra på.
718 00:25:36,000 --> 00:25:38,000
Nej och det är ju lite som du och jag Jesper.
719 00:25:38,000 --> 00:25:40,000
Som pysslar enbart med pentest egentligen.
720 00:25:40,000 --> 00:25:42,000
Så måste du vara lite jack of all trades.
721 00:25:42,000 --> 00:25:44,000
För att du kommer bouncea mellan en massa olika domäner.
722 00:25:44,000 --> 00:25:46,000
Hela tiden.
723 00:25:46,000 --> 00:25:48,000
Och det går inte att vara som en utvecklare.
724 00:25:48,000 --> 00:25:50,000
Exempelvis som sitter och gör en grej.
725 00:25:50,000 --> 00:25:52,000
Och är superexpert på det.
726 00:25:52,000 --> 00:25:54,000
Liksom inom sitt företag.
727 00:25:54,000 --> 00:25:56,000
Utan vi kan inte ha domänkunskap för alla våra kunder.
728 00:25:56,000 --> 00:25:58,000
Jag har ju några reflektioner.
729 00:25:58,000 --> 00:26:00,000
Från.
730 00:26:00,000 --> 00:26:02,000
Där jag sitter för närvarande.
731 00:26:02,000 --> 00:26:04,000
Att.
732 00:26:04,000 --> 00:26:06,000
Till exempel om vi har en person.
733 00:26:06,000 --> 00:26:08,000
Som är.
734 00:26:08,000 --> 00:26:10,000
Helt renodlad webbpentester.
735 00:26:10,000 --> 00:26:12,000
Det är det som den personen gör.
736 00:26:12,000 --> 00:26:14,000
Punkt slut.
737 00:26:14,000 --> 00:26:16,000
I en komplex miljö.
738 00:26:16,000 --> 00:26:18,000
Så är det en begränsning.
739 00:26:18,000 --> 00:26:20,000
Att någon är så smal.
740 00:26:20,000 --> 00:26:22,000
För det spelar egentligen.
741 00:26:22,000 --> 00:26:24,000
Om den personen har varit gud på webbpentest.
742 00:26:24,000 --> 00:26:26,000
Så räcker inte det.
743 00:26:26,000 --> 00:26:28,000
För att säkerhetstesta vissa delar.
744 00:26:28,000 --> 00:26:30,000
Av målmiljön.
745 00:26:30,000 --> 00:26:32,000
Men en annan så här.
746 00:26:32,000 --> 00:26:34,000
Ett nytt mål som jag ska ta mig an.
747 00:26:34,000 --> 00:26:36,000
Mycket tidigare.
748 00:26:36,000 --> 00:26:38,000
I riskanalysfas.
749 00:26:38,000 --> 00:26:40,000
Snarare än webbpentestet.
750 00:26:40,000 --> 00:26:42,000
Där känner jag.
751 00:26:42,000 --> 00:26:44,000
Att jag vill rita.
752 00:26:44,000 --> 00:26:46,000
Många dfdr för.
753 00:26:46,000 --> 00:26:48,000
Samma grej.
754 00:26:48,000 --> 00:26:50,000
För att det finns abuse scenarion.
755 00:26:50,000 --> 00:26:52,000
Som är så olika.
756 00:26:52,000 --> 00:26:54,000
Så att du måste nästan.
757 00:26:54,000 --> 00:26:56,000
Om du enkelt ska visualisera problembilden.
758 00:26:56,000 --> 00:26:58,000
Och tänka runt den.
759 00:26:58,000 --> 00:27:00,000
Du behöver nästan ha olika bilder.
760 00:27:00,000 --> 00:27:02,000
Beroende på vilken funktion.
761 00:27:02,000 --> 00:27:04,000
Målet har.
762 00:27:04,000 --> 00:27:06,000
I det abuse casen.
763 00:27:06,000 --> 00:27:08,000
Du tänker på.
764 00:27:08,000 --> 00:27:10,000
När man då pratar om hotmodellering.
765 00:27:10,000 --> 00:27:12,000
Generellt.
766 00:27:12,000 --> 00:27:14,000
Då är det viktigt.
767 00:27:14,000 --> 00:27:16,000
Att man är överens.
768 00:27:16,000 --> 00:27:18,000
För det är någonting jag kommer.
769 00:27:18,000 --> 00:27:20,000
Det sätter jag på ganska ofta då.
770 00:27:20,000 --> 00:27:22,000
Visst jag må tillhöra.
771 00:27:22,000 --> 00:27:24,000
En pentesting kultur.
772 00:27:24,000 --> 00:27:26,000
Där det är rapport hardfett hej.
773 00:27:26,000 --> 00:27:28,000
Där jag försöker vända på det där.
774 00:27:28,000 --> 00:27:30,000
Det vill säga att rapporten.
775 00:27:30,000 --> 00:27:32,000
Är inte det som är det viktiga.
776 00:27:32,000 --> 00:27:34,000
Utan det är att vi har samförståelse.
777 00:27:34,000 --> 00:27:36,000
Till vad det är vi har hittat.
778 00:27:36,000 --> 00:27:38,000
Så jag försöker vända lite på penetrationstestet.
779 00:27:38,000 --> 00:27:40,000
För jag upplever att det jag gör i mitt arbete.
780 00:27:40,000 --> 00:27:42,000
Det är liksom att sätta plåster på sår.
781 00:27:42,000 --> 00:27:44,000
Men man liksom fattar inte.
782 00:27:44,000 --> 00:27:46,000
Att om man hoppar på sin skateboard.
783 00:27:46,000 --> 00:27:48,000
Och köttar ner från den här 45 gradiga backen.
784 00:27:48,000 --> 00:27:50,000
Så ramlar man och får skrubbsår.
785 00:27:50,000 --> 00:27:52,000
Utan jag kommer liksom att fixa.
786 00:27:52,000 --> 00:27:54,000
Den andra backen man hoppar ner för.
787 00:27:54,000 --> 00:27:56,000
Det är väldigt olika från kund till kund.
788 00:27:56,000 --> 00:27:58,000
Alltså varför de beställer ett pentest.
789 00:27:58,000 --> 00:28:00,000
Eller hur så är det ju.
790 00:28:00,000 --> 00:28:02,000
Får jag kasta in en bit här.
791 00:28:02,000 --> 00:28:04,000
För jag tyckte Peter var inne på det.
792 00:28:04,000 --> 00:28:06,000
Och han nämnde det bara.
793 00:28:06,000 --> 00:28:08,000
I förbefarten och du Jasper.
794 00:28:08,000 --> 00:28:10,000
Tog upp den för.
795 00:28:10,000 --> 00:28:12,000
DFD alltså dataflödesdiagram.
796 00:28:12,000 --> 00:28:14,000
Och hotmodeller.
797 00:28:14,000 --> 00:28:16,000
Jag minns ju när jag blev utkastad.
798 00:28:16,000 --> 00:28:18,000
I djupa änden på poolen.
799 00:28:18,000 --> 00:28:20,000
I en automotive situation.
800 00:28:20,000 --> 00:28:22,000
Där jag skulle sitta och göra.
801 00:28:22,000 --> 00:28:24,000
Precis det här.
802 00:28:24,000 --> 00:28:26,000
På ett telematiksystem.
803 00:28:28,000 --> 00:28:30,000
Och där just det här.
804 00:28:30,000 --> 00:28:32,000
Med att.
805 00:28:32,000 --> 00:28:34,000
En dataflödesmodell.
806 00:28:34,000 --> 00:28:36,000
Där man tittar på.
807 00:28:36,000 --> 00:28:38,000
Kommunikationer som är.
808 00:28:38,000 --> 00:28:40,000
Potentiellt sårbara.
809 00:28:40,000 --> 00:28:42,000
Och sitter och gör någon form av strideanalys.
810 00:28:42,000 --> 00:28:44,000
Eller vad man gör.
811 00:28:44,000 --> 00:28:46,000
Och där är det fräcka verktyg för att.
812 00:28:46,000 --> 00:28:48,000
Ett ramverk för hotmodellering kan vi väl säga.
813 00:28:48,000 --> 00:28:50,000
Ja precis.
814 00:28:50,000 --> 00:28:52,000
Och där plötsligt.
815 00:28:52,000 --> 00:28:54,000
Jag menar.
816 00:28:54,000 --> 00:28:56,000
Då kan man bara genom att.
817 00:28:56,000 --> 00:28:58,000
Luta sig mot metodiken.
818 00:28:58,000 --> 00:29:00,000
Komma fram till.
819 00:29:00,000 --> 00:29:02,000
Okej.
820 00:29:02,000 --> 00:29:04,000
Var ska vi fokusera våra.
821 00:29:04,000 --> 00:29:06,000
Insatser.
822 00:29:06,000 --> 00:29:08,000
Vad är det vi ska testa.
823 00:29:08,000 --> 00:29:10,000
Vad är det vi kan foka på.
824 00:29:10,000 --> 00:29:12,000
Och ge valuta för pengarna.
825 00:29:12,000 --> 00:29:14,000
Gör du inte det.
826 00:29:14,000 --> 00:29:16,000
Då kan du sitta och fassa till döddagar.
827 00:29:16,000 --> 00:29:18,000
Du sitter och fassar i 80 timmar.
828 00:29:18,000 --> 00:29:20,000
Och hur fan har du hittat.
829 00:29:20,000 --> 00:29:22,000
Den kräktes en gång.
830 00:29:22,000 --> 00:29:24,000
Jag skulle inte säga.
831 00:29:24,000 --> 00:29:26,000
Det är en jävligt mäktig kund.
832 00:29:26,000 --> 00:29:28,000
Eller pentestare.
833 00:29:28,000 --> 00:29:30,000
Som kan säga.
834 00:29:30,000 --> 00:29:32,000
Jag har fastnat i 80 timmar.
835 00:29:32,000 --> 00:29:34,000
Jag sitter och tittat på outputen hela tiden.
836 00:29:34,000 --> 00:29:36,000
Okej.
837 00:29:36,000 --> 00:29:38,000
Du kommer nog inte få testa en gång till.
838 00:29:38,000 --> 00:29:40,000
Men visst jag fattar din grej.
839 00:29:40,000 --> 00:29:42,000
Den drar man igång också.
840 00:29:42,000 --> 00:29:44,000
Men vad jag vill säga.
841 00:29:44,000 --> 00:29:46,000
För att återkoppla till.
842 00:29:46,000 --> 00:29:48,000
Det här sättet att jobba på.
843 00:29:48,000 --> 00:29:50,000
Jag hoppar oftast in.
844 00:29:50,000 --> 00:29:52,000
I ett utvecklingsteam.
845 00:29:52,000 --> 00:29:54,000
Det är inte bara.
846 00:29:54,000 --> 00:29:56,000
En gäng människor som håller på.
847 00:29:56,000 --> 00:29:58,000
Med UX eller fronten.
848 00:29:58,000 --> 00:30:00,000
Det ska vara hela.
849 00:30:00,000 --> 00:30:02,000
Teknikkedjans representanter.
850 00:30:02,000 --> 00:30:04,000
Som är med.
851 00:30:04,000 --> 00:30:06,000
Där tycker jag att det är jävligt viktigt.
852 00:30:06,000 --> 00:30:08,000
Utifrån mitt arbete.
853 00:30:08,000 --> 00:30:10,000
Att alla är överens.
854 00:30:10,000 --> 00:30:12,000
Vad är det som är viktigt.
855 00:30:12,000 --> 00:30:14,000
Ur ett säkerhetsperspektiv.
856 00:30:14,000 --> 00:30:16,000
Men framförallt är det viktigt att alla förstår.
857 00:30:16,000 --> 00:30:18,000
Hur en sårbarhet.
858 00:30:18,000 --> 00:30:20,000
Hur en sårbarhetskategori.
859 00:30:20,000 --> 00:30:22,000
Eller hur en viss typ av sårbarhet.
860 00:30:22,000 --> 00:30:24,000
Drabbar olika delar.
861 00:30:24,000 --> 00:30:26,000
Av det här teknikflödet.
862 00:30:26,000 --> 00:30:28,000
Där blir det ofta så här.
863 00:30:28,000 --> 00:30:30,000
Det här är en XSS.
864 00:30:30,000 --> 00:30:32,000
Det är fronten.
865 00:30:32,000 --> 00:30:34,000
Men det behöver inte vara hela sanningen.
866 00:30:34,000 --> 00:30:36,000
Det kan vara någon parser längre ner.
867 00:30:36,000 --> 00:30:38,000
Det kan vara vad som helst.
868 00:30:38,000 --> 00:30:40,000
Hur order of attack blir.
869 00:30:40,000 --> 00:30:42,000
Där är det viktigt att vi skapar förståelse.
870 00:30:42,000 --> 00:30:44,000
Kulturellt.
871 00:30:44,000 --> 00:30:46,000
Om vi gör en pentestrapport.
872 00:30:46,000 --> 00:30:48,000
Att vi har representationer från alla skrån.
873 00:30:48,000 --> 00:30:50,000
Så man förstår varandras problem.
874 00:30:50,000 --> 00:30:52,000
För då kommer vi att lära varandra vitt och brett.
875 00:30:52,000 --> 00:30:54,000
Att undvika.
876 00:30:54,000 --> 00:30:56,000
Sårbarhetsklassen all together.
877 00:30:56,000 --> 00:30:58,000
Och det är någonting som jag försöker göra.
878 00:30:58,000 --> 00:31:00,000
När jag äger leveransen.
879 00:31:00,000 --> 00:31:02,000
Det vill säga.
880 00:31:02,000 --> 00:31:04,000
Jag är ganska trött på att säga.
881 00:31:04,000 --> 00:31:06,000
Här står det.
882 00:31:06,000 --> 00:31:08,000
Här är en XSS.
883 00:31:08,000 --> 00:31:10,000
Men säg till exempel.
884 00:31:10,000 --> 00:31:12,000
En XSS.
885 00:31:12,000 --> 00:31:14,000
Den.
886 00:31:14,000 --> 00:31:16,000
I sin enklaste nivå så kan man ju säga.
887 00:31:16,000 --> 00:31:18,000
Här finns det ett fel.
888 00:31:18,000 --> 00:31:20,000
Det blir exploaterbart.
889 00:31:20,000 --> 00:31:22,000
Mm.
890 00:31:22,000 --> 00:31:24,000
Och då kan man välja att säga det.
891 00:31:24,000 --> 00:31:26,000
Och i vissa fall kanske det är så enkelt.
892 00:31:26,000 --> 00:31:28,000
Att det är en enda bugg.
893 00:31:28,000 --> 00:31:30,000
Men i vissa fall.
894 00:31:30,000 --> 00:31:32,000
Så kan det ju programmatiskt.
895 00:31:32,000 --> 00:31:34,000
Sett vara så att.
896 00:31:34,000 --> 00:31:36,000
Det finns en förrörig design.
897 00:31:36,000 --> 00:31:38,000
Där det är för många lager.
898 00:31:38,000 --> 00:31:40,000
Som är med och processar.
899 00:31:40,000 --> 00:31:42,000
Och bygger upp den här vyn.
900 00:31:42,000 --> 00:31:44,000
Ja.
901 00:31:44,000 --> 00:31:46,000
Så att det kan finnas.
902 00:31:46,000 --> 00:31:48,000
Arkitekturella problem.
903 00:31:48,000 --> 00:31:50,000
Som resulterar i.
904 00:31:50,000 --> 00:31:52,000
Att det blir.
905 00:31:52,000 --> 00:31:54,000
XSS och liknande ofta.
906 00:31:54,000 --> 00:31:56,000
Du har en ökad komplexitet.
907 00:31:56,000 --> 00:31:58,000
I arkitekturen.
908 00:31:58,000 --> 00:32:00,000
Som gör att det blir väldigt svårt att säga.
909 00:32:00,000 --> 00:32:02,000
Men som du sa.
910 00:32:02,000 --> 00:32:04,000
Det är den här fronten snubben.
911 00:32:04,000 --> 00:32:06,000
Som ska ha fixat det.
912 00:32:06,000 --> 00:32:08,000
Jag vill undvika stigmat.
913 00:32:08,000 --> 00:32:10,000
Peter är inne på.
914 00:32:10,000 --> 00:32:12,000
Om du hittar ett arkitekturellt problem.
915 00:32:12,000 --> 00:32:14,000
Så kan det ju vara.
916 00:32:14,000 --> 00:32:16,000
FN disaster.
917 00:32:16,000 --> 00:32:18,000
För det kanske är.
918 00:32:18,000 --> 00:32:20,000
Vi behöver skriva om skit från grunden.
919 00:32:20,000 --> 00:32:22,000
För att lösa det här.
920 00:32:22,000 --> 00:32:24,000
Så kan det ju vara.
921 00:32:24,000 --> 00:32:26,000
Det är väl det som är intressant här.
922 00:32:26,000 --> 00:32:28,000
Jag har sett det alldeles för ofta.
923 00:32:28,000 --> 00:32:30,000
Men det som är intressant i diskussionen.
924 00:32:30,000 --> 00:32:32,000
Är att vi kommer in från olika infallsvinklar.
925 00:32:32,000 --> 00:32:34,000
Jag kommer in från.
926 00:32:34,000 --> 00:32:36,000
Från en sida.
927 00:32:36,000 --> 00:32:38,000
Där allting är klart.
928 00:32:38,000 --> 00:32:40,000
De har ju liksom.
929 00:32:40,000 --> 00:32:42,000
Polerat den här bilen.
930 00:32:42,000 --> 00:32:44,000
Och nu ska den bara.
931 00:32:44,000 --> 00:32:46,000
Gå igenom.
932 00:32:46,000 --> 00:32:48,000
The watchful eye of the destroyer of doom.
933 00:32:48,000 --> 00:32:50,000
Så där är ju arkitekturen.
934 00:32:50,000 --> 00:32:52,000
Redan satt menar jag.
935 00:32:52,000 --> 00:32:54,000
Så det är ju olika typer utav.
936 00:32:54,000 --> 00:32:56,000
Säkerhetsarbete här.
937 00:32:56,000 --> 00:32:58,000
Jag menar organisatoriskt och arkitekturiskt.
938 00:32:58,000 --> 00:33:00,000
Det ska ju vara ganska tidig hotmodellering.
939 00:33:00,000 --> 00:33:02,000
Och.
940 00:33:02,000 --> 00:33:04,000
Säkerhetstänk egentligen.
941 00:33:04,000 --> 00:33:06,000
Om det nu är viktigt för applikationen över huvud taget.
942 00:33:06,000 --> 00:33:08,000
Jävligt jobbigt när man hittar ett sånt problem.
943 00:33:08,000 --> 00:33:10,000
I en typ anläggningar.
944 00:33:10,000 --> 00:33:12,000
Som sitter på.
945 00:33:12,000 --> 00:33:14,000
Tusen ställen i världen.
946 00:33:14,000 --> 00:33:16,000
Och kör kärnkraftverk och annat.
947 00:33:16,000 --> 00:33:18,000
Precis och då kommer vi behöva ett större plåster.
948 00:33:18,000 --> 00:33:20,000
Och då är det så här.
949 00:33:20,000 --> 00:33:22,000
Då är det viktigt att alla är med på.
950 00:33:22,000 --> 00:33:24,000
Vilket plåster vi ska använda.
951 00:33:24,000 --> 00:33:26,000
Men det är inte alltid heller som man har så mycket makt.
952 00:33:26,000 --> 00:33:28,000
Som extern pentest firma.
953 00:33:28,000 --> 00:33:30,000
Att påverka sådana saker.
954 00:33:30,000 --> 00:33:32,000
Eller över huvud taget påverka hur deras mottagare organisation ser ut.
955 00:33:32,000 --> 00:33:34,000
Ganska vanligt är ju.
956 00:33:34,000 --> 00:33:36,000
Att beställaren vill ha ett pentest.
957 00:33:36,000 --> 00:33:38,000
För att bocka i en checkbox.
958 00:33:38,000 --> 00:33:40,000
Tyvärr.
959 00:33:40,000 --> 00:33:42,000
Man gör ett återkommande test.
960 00:33:42,000 --> 00:33:44,000
Och så kommer man in och så tittar man på fixen.
961 00:33:44,000 --> 00:33:46,000
Som de har kommittat i git och det är så här.
962 00:33:46,000 --> 00:33:48,000
Ja.
963 00:33:48,000 --> 00:33:50,000
That did not solve the problem.
964 00:33:50,000 --> 00:33:52,000
Sådant har man ju sett att så här.
965 00:33:52,000 --> 00:33:54,000
Ja men det de har gjort är att de har typ reggex blockat exakt de payload.
966 00:33:54,000 --> 00:33:56,000
Som vi hade med i rapporten.
967 00:33:56,000 --> 00:33:58,000
Eller så är det annonsstål på kalk.exe.
968 00:33:58,000 --> 00:34:00,000
Precis.
969 00:34:00,000 --> 00:34:02,000
Då har man liksom inte förstått värdet av ett pentest.
970 00:34:02,000 --> 00:34:04,000
Här har vi ett urepart.
971 00:34:04,000 --> 00:34:06,000
Den lägger vi in i vatten.
972 00:34:06,000 --> 00:34:08,000
Men en annan problemvariant.
973 00:34:08,000 --> 00:34:10,000
En annan problemvariant är ju.
974 00:34:10,000 --> 00:34:12,000
I stora containerbaserade miljöer att.
975 00:34:12,000 --> 00:34:14,000
Du rättar ett säkerhetshål i en container.
976 00:34:14,000 --> 00:34:16,000
Och så har du kvar.
977 00:34:16,000 --> 00:34:18,000
Samma säkerhetshål i alla andra container.
978 00:34:18,000 --> 00:34:20,000
Ja men exakt.
979 00:34:20,000 --> 00:34:22,000
Don’t get me started.
980 00:34:22,000 --> 00:34:24,000
Alltså.
981 00:34:24,000 --> 00:34:26,000
Ja men så här.
982 00:34:26,000 --> 00:34:28,000
Presidents order i kubinetis.
983 00:34:28,000 --> 00:34:30,000
Ja den är ju.
984 00:34:30,000 --> 00:34:32,000
Jättetydlig och bra om man läser den.
985 00:34:32,000 --> 00:34:34,000
Men det gör man inte.
986 00:34:34,000 --> 00:34:36,000
Jag vet inte ens om någon gör det.
987 00:34:36,000 --> 00:34:38,000
Presidents order är ju typ hur saker och ting.
988 00:34:38,000 --> 00:34:40,000
Läggs på i vilken ordning.
989 00:34:40,000 --> 00:34:42,000
Så man skulle ju kunna tro att om man.
990 00:34:42,000 --> 00:34:44,000
Om vi nu säger att det finns tre kategorier av.
991 00:34:44,000 --> 00:34:46,000
Säkerhetskontroller för att sätta ett security context.
992 00:34:46,000 --> 00:34:48,000
Security context är egentligen.
993 00:34:48,000 --> 00:34:50,000
Att berätta för en workload eller en container.
994 00:34:50,000 --> 00:34:52,000
Eller en deployment.
995 00:34:52,000 --> 00:34:54,000
Vilka typer av säkerhetsfeatures.
996 00:34:54,000 --> 00:34:56,000
Den ska antingen lägga till, ta bort.
997 00:34:56,000 --> 00:34:58,000
Eller vad den nu vill göra.
998 00:34:58,000 --> 00:35:00,000
Det går att sätta på tre olika ställen i kubinetis.
999 00:35:00,000 --> 00:35:02,000
Det är ganska svårt.
1000 00:35:02,000 --> 00:35:04,000
Att ta reda på vilken som har presidents order.
1001 00:35:04,000 --> 00:35:06,000
Vilket är supersimpelt.
1002 00:35:06,000 --> 00:35:08,000
Nu är det ironi det jag säger.
1003 00:35:08,000 --> 00:35:10,000
Problemet är att folk.
1004 00:35:10,000 --> 00:35:12,000
Är inte på den nivån i kubinetis stacken.
1005 00:35:12,000 --> 00:35:14,000
Utan man använder en.
1006 00:35:14,000 --> 00:35:16,000
Ett web UI för att göra det.
1007 00:35:16,000 --> 00:35:18,000
Hur validerar man då att.
1008 00:35:18,000 --> 00:35:20,000
Det man tror har lagts på har lagts på.
1009 00:35:20,000 --> 00:35:22,000
Jo det blev grönt.
1010 00:35:22,000 --> 00:35:24,000
Och det ser bra ut i Istio.
1011 00:35:24,000 --> 00:35:26,000
Eller Calico eller Rancher.
1012 00:35:26,000 --> 00:35:28,000
Eller någon annan rolig produkt.
1013 00:35:28,000 --> 00:35:30,000
Och där har vi också ett problem.
1014 00:35:30,000 --> 00:35:32,000
Just det här med att.
1015 00:35:32,000 --> 00:35:34,000
Man måste också förstå.
1016 00:35:34,000 --> 00:35:36,000
Teknikstacken som man jobbar med.
1017 00:35:36,000 --> 00:35:38,000
Och det är inte lätt för någon.
1018 00:35:38,000 --> 00:35:40,000
För att den uppdateras hela tiden.
1019 00:35:40,000 --> 00:35:42,000
Ja om du då är den som är ansvarig.
1020 00:35:42,000 --> 00:35:44,000
För att se till att det är grönt.
1021 00:35:44,000 --> 00:35:46,000
Då måste du ha kunskap om hela teknikstacken.
1022 00:35:46,000 --> 00:35:48,000
Jag minns inte vilken.
1023 00:35:48,000 --> 00:35:50,000
Kloktänkare som ligger.
1024 00:35:50,000 --> 00:35:52,000
Bakom det här.
1025 00:35:52,000 --> 00:35:54,000
Men jag har hört ett jättebra rekommendation.
1026 00:35:54,000 --> 00:35:56,000
Och det är att.
1027 00:35:56,000 --> 00:35:58,000
Don’t.
1028 00:35:58,000 --> 00:36:00,000
Du ska kunna tekniklagret du jobbar på.
1029 00:36:00,000 --> 00:36:02,000
Men du ska ha.
1030 00:36:02,000 --> 00:36:04,000
Hyfsad koll på.
1031 00:36:04,000 --> 00:36:06,000
Ett eller två tekniklagar under.
1032 00:36:06,000 --> 00:36:08,000
Ja.
1033 00:36:08,000 --> 00:36:10,000
För de flesta av oss.
1034 00:36:10,000 --> 00:36:12,000
Så är det inte jätteviktigt att veta.
1035 00:36:12,000 --> 00:36:14,000
Exakt hur mycket processen funkar.
1036 00:36:14,000 --> 00:36:16,000
Det är ganska många lagar.
1037 00:36:16,000 --> 00:36:18,000
För långt ner.
1038 00:36:18,000 --> 00:36:20,000
Men säg då att du till exempel.
1039 00:36:20,000 --> 00:36:22,000
Är den här människan som klickar i webguidet.
1040 00:36:22,000 --> 00:36:24,000
Och fixar så att det blir en säker.
1041 00:36:24,000 --> 00:36:26,000
Kuberneteskonfiguration.
1042 00:36:26,000 --> 00:36:28,000
Att du bara.
1043 00:36:28,000 --> 00:36:30,000
Kan det lagret.
1044 00:36:30,000 --> 00:36:32,000
Okej.
1045 00:36:32,000 --> 00:36:34,000
Du måste kunna lagret nedanför.
1046 00:36:34,000 --> 00:36:36,000
Du kanske inte är den som sitter där.
1047 00:36:36,000 --> 00:36:38,000
Och oftast gillar.
1048 00:36:38,000 --> 00:36:40,000
Att jobba och handknacka.
1049 00:36:40,000 --> 00:36:42,000
Men du måste kunna kolla in.
1050 00:36:42,000 --> 00:36:44,000
Och titta på.
1051 00:36:44,000 --> 00:36:46,000
Blev det ungefär det jag ville.
1052 00:36:46,000 --> 00:36:48,000
Här är också.
1053 00:36:48,000 --> 00:36:50,000
Ett svårt problem.
1054 00:36:50,000 --> 00:36:52,000
Den samlade domänkunskapen.
1055 00:36:52,000 --> 00:36:54,000
Kring den här typen av arkitektur.
1056 00:36:54,000 --> 00:36:56,000
Bygger på.
1057 00:36:56,000 --> 00:36:58,000
Olika hotmodeller.
1058 00:36:58,000 --> 00:37:00,000
Så när Google.
1059 00:37:00,000 --> 00:37:02,000
Drar igång det här projektet.
1060 00:37:02,000 --> 00:37:04,000
Då har dom en idé.
1061 00:37:04,000 --> 00:37:06,000
Vart leveransen börjar och slutar.
1062 00:37:06,000 --> 00:37:08,000
Nu har dom ju släppt vidare den.
1063 00:37:08,000 --> 00:37:10,000
Men det betyder ju att det som skapas då.
1064 00:37:10,000 --> 00:37:12,000
Inom ramarna för det projektet.
1065 00:37:12,000 --> 00:37:14,000
När Google rattar det.
1066 00:37:14,000 --> 00:37:16,000
Det bygger ju på deras hotmodell.
1067 00:37:16,000 --> 00:37:18,000
Och deras idé om vad säkerhet är.
1068 00:37:18,000 --> 00:37:20,000
När det sedan tas över.
1069 00:37:20,000 --> 00:37:22,000
Av någon chumme.
1070 00:37:22,000 --> 00:37:24,000
Eller något annat gött.
1071 00:37:24,000 --> 00:37:26,000
Då får man ju bara.
1072 00:37:26,000 --> 00:37:28,000
Svälja och köra det.
1073 00:37:28,000 --> 00:37:30,000
Den modellen man jobbar efter.
1074 00:37:30,000 --> 00:37:32,000
Och man har kanske inte vett det där och då.
1075 00:37:32,000 --> 00:37:34,000
Att vätta det.
1076 00:37:34,000 --> 00:37:36,000
Hur ser det ut? Hur är det här egentligen?
1077 00:37:36,000 --> 00:37:38,000
Hur hänger det här ihop?
1078 00:37:38,000 --> 00:37:40,000
Och det är väl hela grejen.
1079 00:37:40,000 --> 00:37:42,000
Ta Cops till exempel.
1080 00:37:42,000 --> 00:37:44,000
Kubernetes operation.
1081 00:37:44,000 --> 00:37:46,000
Productions.
1082 00:37:46,000 --> 00:37:48,000
Cops är liksom.
1083 00:37:48,000 --> 00:37:50,000
Ett apt-get paket för Kubernetes.
1084 00:37:50,000 --> 00:37:52,000
Mer eller mindre.
1085 00:37:52,000 --> 00:37:54,000
Och den är horribel.
1086 00:37:54,000 --> 00:37:56,000
Grundinställningen av den är horribel.
1087 00:37:56,000 --> 00:37:58,000
Och det är liksom.
1088 00:37:58,000 --> 00:38:00,000
Ganska många.
1089 00:38:00,000 --> 00:38:02,000
Som kör det i produktion.
1090 00:38:02,000 --> 00:38:04,000
Som har liksom.
1091 00:38:04,000 --> 00:38:06,000
Jo men det är ju en bundlad prod-grej.
1092 00:38:06,000 --> 00:38:08,000
Ja är det det?
1093 00:38:08,000 --> 00:38:10,000
Turnkey solution.
1094 00:38:10,000 --> 00:38:12,000
Ja finns det?
1095 00:38:12,000 --> 00:38:14,000
Har det någonsin funkat?
1096 00:38:14,000 --> 00:38:16,000
Kanske.
1097 00:38:16,000 --> 00:38:18,000
Och det är det jag menar.
1098 00:38:18,000 --> 00:38:20,000
De här verktygen.
1099 00:38:20,000 --> 00:38:22,000
Har ju kommit till byn ganska snabbt.
1100 00:38:22,000 --> 00:38:24,000
De är gjorda.
1101 00:38:24,000 --> 00:38:26,000
För att vara just.
1102 00:38:26,000 --> 00:38:28,000
Extremt flexibla.
1103 00:38:28,000 --> 00:38:30,000
Beroende lite på vart de bor.
1104 00:38:30,000 --> 00:38:32,000
Bor de i en målmiljö.
1105 00:38:32,000 --> 00:38:34,000
Och rattas utav måloperatören dessutom.
1106 00:38:34,000 --> 00:38:36,000
Det vill säga en integrerad del i en cloud-instans.
1107 00:38:36,000 --> 00:38:38,000
Typ GKE.
1108 00:38:38,000 --> 00:38:40,000
Som du har i GCP.
1109 00:38:40,000 --> 00:38:42,000
Eller EKS som du har i AVS.
1110 00:38:42,000 --> 00:38:44,000
Och jag tror även att Azure nu har en Kubernetes.
1111 00:38:44,000 --> 00:38:46,000
Jag vet i alla fall att de har en massa side-cards.
1112 00:38:46,000 --> 00:38:48,000
Som man kan jacka in i Kubernetes.
1113 00:38:48,000 --> 00:38:50,000
Men det kan vi prata om sen.
1114 00:38:50,000 --> 00:38:52,000
Men problemet är att då kommer de ju att behöva.
1115 00:38:52,000 --> 00:38:54,000
Anpassa den lösningen som de deployar.
1116 00:38:54,000 --> 00:38:56,000
Till sitt business case.
1117 00:38:56,000 --> 00:38:58,000
Det vill säga ta betalt.
1118 00:38:58,000 --> 00:39:00,000
För resurser och entiteter.
1119 00:39:00,000 --> 00:39:02,000
Och dela med ett tredje.
1120 00:39:02,000 --> 00:39:04,000
Och det gör ju att deras särskild måste ju se ut på ett visst sätt.
1121 00:39:04,000 --> 00:39:06,000
Gentemot att om du installerar det på din.
1122 00:39:06,000 --> 00:39:08,000
Egna site.
1123 00:39:08,000 --> 00:39:10,000
Så har inte du alls samma constraints.
1124 00:39:10,000 --> 00:39:12,000
Men du kommer få samma produkt på köpet.
1125 00:39:12,000 --> 00:39:14,000
Och där blir det också en ganska stor.
1126 00:39:14,000 --> 00:39:16,000
Discrepancy.
1127 00:39:16,000 --> 00:39:18,000
Mot vad man tänker sig att det ska vara.
1128 00:39:18,000 --> 00:39:20,000
Vad heter det på svenska?
1129 00:39:20,000 --> 00:39:22,000
Skillnad. Diskrepans.
1130 00:39:22,000 --> 00:39:24,000
En kontrollfråga.
1131 00:39:24,000 --> 00:39:26,000
Har vi spårat nu?
1132 00:39:26,000 --> 00:39:28,000
Förlåt.
1133 00:39:28,000 --> 00:39:30,000
Peter styr upp.
1134 00:39:30,000 --> 00:39:32,000
Vi har fått prata fritt.
1135 00:39:32,000 --> 00:39:34,000
Om att det är slut.
1136 00:39:34,000 --> 00:39:36,000
Om man tittar på säkerhetshåll.
1137 00:39:36,000 --> 00:39:38,000
Det är slut nu.
1138 00:39:38,000 --> 00:39:40,000
Och hur vi tar oss an någonting nytt.
1139 00:39:40,000 --> 00:39:42,000
Det gick precis som väntat.
1140 00:39:42,000 --> 00:39:44,000
Jag tänker att.
1141 00:39:44,000 --> 00:39:46,000
Om inte någon har något sjukt.
1142 00:39:46,000 --> 00:39:48,000
Mycket på hjärtat.
1143 00:39:48,000 --> 00:39:50,000
Just om hur den tar sig an ett helt nytt.
1144 00:39:50,000 --> 00:39:52,000
Säkerhetshåll.
1145 00:39:52,000 --> 00:39:54,000
Istället för att prata utifrån.
1146 00:39:54,000 --> 00:39:56,000
Egna erfarenheter.
1147 00:39:56,000 --> 00:39:58,000
Ordar lite.
1148 00:39:58,000 --> 00:40:00,000
Om metoder.
1149 00:40:00,000 --> 00:40:02,000
Och idéer i standarder.
1150 00:40:02,000 --> 00:40:04,000
För hur man gör.
1151 00:40:04,000 --> 00:40:06,000
Pentest.
1152 00:40:06,000 --> 00:40:08,000
Hur någon annan.
1153 00:40:08,000 --> 00:40:10,000
Kloktänkare har tänkt.
1154 00:40:10,000 --> 00:40:12,000
Att man gör det här.
1155 00:40:16,000 --> 00:40:18,000
Jag har ju ögat en del.
1156 00:40:18,000 --> 00:40:20,000
På.
1157 00:40:20,000 --> 00:40:22,000
SP NIST.
1158 00:40:22,000 --> 00:40:24,000
SP 800.
1159 00:40:24,000 --> 00:40:26,000
Sträck 115.
1160 00:40:26,000 --> 00:40:28,000
NIST special publication.
1161 00:40:28,000 --> 00:40:30,000
800.
1162 00:40:30,000 --> 00:40:32,000
Sträck 115.
1163 00:40:32,000 --> 00:40:34,000
Technical guide to information.
1164 00:40:34,000 --> 00:40:36,000
Security testing.
1165 00:40:36,000 --> 00:40:38,000
And assessment.
1166 00:40:38,000 --> 00:40:40,000
Mm.
1167 00:40:40,000 --> 00:40:42,000
Och.
1168 00:40:42,000 --> 00:40:44,000
Gammal va?
1169 00:40:44,000 --> 00:40:46,000
2008 tror jag den är.
1170 00:40:46,000 --> 00:40:48,000
Mm.
1171 00:40:48,000 --> 00:40:50,000
Och.
1172 00:40:50,000 --> 00:40:52,000
Jag tror.
1173 00:40:52,000 --> 00:40:54,000
Att väldigt många erfarna människor.
1174 00:40:54,000 --> 00:40:56,000
Som har varit med och gjort säkerhet länge.
1175 00:40:56,000 --> 00:40:58,000
Gör nog rätt mycket.
1176 00:40:58,000 --> 00:41:00,000
Av vad som finns här.
1177 00:41:00,000 --> 00:41:02,000
Mm.
1178 00:41:02,000 --> 00:41:04,000
Men jag tycker den är.
1179 00:41:04,000 --> 00:41:06,000
Lite likt till exempel.
1180 00:41:06,000 --> 00:41:08,000
Mitra attack framework och annat.
1181 00:41:08,000 --> 00:41:10,000
Så tror jag att den här är ganska bra.
1182 00:41:10,000 --> 00:41:12,000
För att.
1183 00:41:12,000 --> 00:41:14,000
Dels.
1184 00:41:14,000 --> 00:41:16,000
Lyfta sig ut och inte tänka så mycket kring.
1185 00:41:16,000 --> 00:41:18,000
Just så här gör jag.
1186 00:41:18,000 --> 00:41:20,000
Eller.
1187 00:41:20,000 --> 00:41:22,000
Lika ner på atomnivå.
1188 00:41:22,000 --> 00:41:24,000
Utan att liksom resa sig upp och.
1189 00:41:24,000 --> 00:41:26,000
Hitta lite mer.
1190 00:41:26,000 --> 00:41:28,000
Allmänt.
1191 00:41:28,000 --> 00:41:30,000
Och jag tycker den är jättebra.
1192 00:41:30,000 --> 00:41:32,000
När man ska förklara för nya människor.
1193 00:41:32,000 --> 00:41:34,000
Som inte har gjort pentest.
1194 00:41:34,000 --> 00:41:36,000
Och vill ge dem en bild.
1195 00:41:36,000 --> 00:41:38,000
Av vad kan ett pentest vara.
1196 00:41:38,000 --> 00:41:40,000
Ja alltså.
1197 00:41:40,000 --> 00:41:42,000
Jag håller nog med vad du säger.
1198 00:41:42,000 --> 00:41:44,000
Men jag vet inte hur väl det speglas.
1199 00:41:44,000 --> 00:41:46,000
I verkligheten.
1200 00:41:46,000 --> 00:41:48,000
Alltså det finns ju de här standarderna.
1201 00:41:48,000 --> 00:41:50,000
Som berättar hur man ska göra ett pentest.
1202 00:41:50,000 --> 00:41:52,000
Men det är.
1203 00:41:52,000 --> 00:41:54,000
Väldigt mycket av det som står i dem.
1204 00:41:54,000 --> 00:41:56,000
Som aldrig kommer appliceras i ett pentest.
1205 00:41:56,000 --> 00:41:58,000
Nej.
1206 00:41:58,000 --> 00:42:00,000
För att du har dina fina typ.
1207 00:42:00,000 --> 00:42:02,000
Tagit identification och recon faser.
1208 00:42:02,000 --> 00:42:04,000
Och det ena med det fjärde.
1209 00:42:04,000 --> 00:42:06,000
Och massa saker.
1210 00:42:06,000 --> 00:42:08,000
Sen så jobbar du i den verkliga världen.
1211 00:42:08,000 --> 00:42:10,000
Där du förmodligen har ett avtal.
1212 00:42:10,000 --> 00:42:12,000
Som specifierar ganska exakt.
1213 00:42:12,000 --> 00:42:14,000
Vad som är i scope.
1214 00:42:14,000 --> 00:42:16,000
Vad du ska titta på.
1215 00:42:16,000 --> 00:42:18,000
Av detta.
1216 00:42:18,000 --> 00:42:20,000
Sen är tid en aspekt också.
1217 00:42:20,000 --> 00:42:22,000
Och sen är tid en aspekt.
1218 00:42:22,000 --> 00:42:24,000
Det är jättevärdefullt att ha koll på.
1219 00:42:24,000 --> 00:42:26,000
Ungefär hur de här standarderna ser ut.
1220 00:42:26,000 --> 00:42:28,000
För det ger en bra baseline.
1221 00:42:28,000 --> 00:42:30,000
Om man ska ha förståelse för det.
1222 00:42:30,000 --> 00:42:32,000
Men man kan sällan lyfta över dem.
1223 00:42:32,000 --> 00:42:34,000
In i sitt yrkesliv.
1224 00:42:34,000 --> 00:42:36,000
Men.
1225 00:42:36,000 --> 00:42:38,000
Då vill jag försvara Peter.
1226 00:42:38,000 --> 00:42:40,000
Lite här.
1227 00:42:40,000 --> 00:42:42,000
För jag tycker ändå att de har.
1228 00:42:42,000 --> 00:42:44,000
En tydlig plats.
1229 00:42:44,000 --> 00:42:46,000
Och en poäng.
1230 00:42:46,000 --> 00:42:48,000
Som man hade.
1231 00:42:48,000 --> 00:42:50,000
Kunnat landa i.
1232 00:42:50,000 --> 00:42:52,000
Det här någonstans.
1233 00:42:52,000 --> 00:42:54,000
Du har ett target och ett scope.
1234 00:42:54,000 --> 00:42:56,000
Och de här är kanske skrivna.
1235 00:42:56,000 --> 00:42:58,000
Utifrån ett.
1236 00:42:58,000 --> 00:43:00,000
Red team engagement.
1237 00:43:00,000 --> 00:43:02,000
Där du har en total black box.
1238 00:43:02,000 --> 00:43:04,000
All out cyber war mode.
1239 00:43:04,000 --> 00:43:06,000
Mycket ord.
1240 00:43:06,000 --> 00:43:08,000
Där är en.
1241 00:43:08,000 --> 00:43:10,000
Men fine.
1242 00:43:10,000 --> 00:43:12,000
Det innebär bara att den biten.
1243 00:43:12,000 --> 00:43:14,000
Är redan avhandlad i avtalsfasen.
1244 00:43:14,000 --> 00:43:16,000
Men det jag tycker.
1245 00:43:16,000 --> 00:43:18,000
Har en poäng i.
1246 00:43:18,000 --> 00:43:20,000
Det är ju det här med vad är.
1247 00:43:20,000 --> 00:43:22,000
Ett pentest.
1248 00:43:22,000 --> 00:43:24,000
Och ett pentest är inte en nessusrapport.
1249 00:43:24,000 --> 00:43:26,000
Ofiltrerad.
1250 00:43:26,000 --> 00:43:28,000
För det har jag sett.
1251 00:43:28,000 --> 00:43:30,000
Kunder som har betalat för en pentest.
1252 00:43:30,000 --> 00:43:32,000
Och fått en nessusrapport.
1253 00:43:32,000 --> 00:43:34,000
Då blir jag.
1254 00:43:34,000 --> 00:43:36,000
Då blir jag ledsen i ögat.
1255 00:43:36,000 --> 00:43:38,000
Men jag tänker att det finns några.
1256 00:43:38,000 --> 00:43:40,000
Takeaways man kan ta.
1257 00:43:40,000 --> 00:43:42,000
Dels om man är en.
1258 00:43:42,000 --> 00:43:44,000
Relativt normal.
1259 00:43:44,000 --> 00:43:46,000
Och erfaren pentestare.
1260 00:43:46,000 --> 00:43:48,000
Som jobbar i.
1261 00:43:48,000 --> 00:43:50,000
Den här väldigt höga stressen.
1262 00:43:50,000 --> 00:43:52,000
Som många pentestare är utsatta för.
1263 00:43:52,000 --> 00:43:54,000
Så kan man åtminstone.
1264 00:43:54,000 --> 00:43:56,000
Ha en tanke kring.
1265 00:43:56,000 --> 00:43:58,000
Vad man gör och jag tror att.
1266 00:43:58,000 --> 00:44:00,000
Om man kollar på några av de här metoderna.
1267 00:44:00,000 --> 00:44:02,000
Så kommer man se att.
1268 00:44:02,000 --> 00:44:04,000
Man gör nog förmodligen det här.
1269 00:44:04,000 --> 00:44:06,000
Men i ett jävla spidat.
1270 00:44:06,000 --> 00:44:08,000
Spidat flöde.
1271 00:44:08,000 --> 00:44:10,000
Och man är.
1272 00:44:10,000 --> 00:44:12,000
Kanske.
1273 00:44:12,000 --> 00:44:14,000
Sällan så att man är så jävla noga med.
1274 00:44:14,000 --> 00:44:16,000
Nu är jag här i processkartan.
1275 00:44:16,000 --> 00:44:18,000
Nu är jag här i processkartan.
1276 00:44:18,000 --> 00:44:20,000
Utan.
1277 00:44:20,000 --> 00:44:22,000
I samma stund som du har gjort en discovery.
1278 00:44:22,000 --> 00:44:24,000
Och du hittar någonting.
1279 00:44:24,000 --> 00:44:26,000
Så börjar du göra attacken.
1280 00:44:26,000 --> 00:44:28,000
Och så bara du itererar och du stressar som fan.
1281 00:44:28,000 --> 00:44:30,000
Men förhoppningsvis.
1282 00:44:30,000 --> 00:44:32,000
Så finns det ändå MFFet.
1283 00:44:32,000 --> 00:44:34,000
Medness om man tittar.
1284 00:44:34,000 --> 00:44:36,000
Det gör det ju men det blir lite så här.
1285 00:44:36,000 --> 00:44:38,000
Gräva där du står grejen i alla fall.
1286 00:44:38,000 --> 00:44:40,000
Du får berätta om jag har fel.
1287 00:44:40,000 --> 00:44:42,000
Men jag tror att jag och Johan.
1288 00:44:42,000 --> 00:44:44,000
Samma typ av arbetsgivare.
1289 00:44:44,000 --> 00:44:46,000
Vi är ju så här.
1290 00:44:46,000 --> 00:44:48,000
Ja.
1291 00:44:48,000 --> 00:44:50,000
Vi jobbar nog på ungefär samma sätt tänker jag.
1292 00:44:50,000 --> 00:44:52,000
Och det som händer där det är ju att.
1293 00:44:52,000 --> 00:44:54,000
Vi har x antal dagar på oss.
1294 00:44:54,000 --> 00:44:56,000
Jag får betalt per dag.
1295 00:44:56,000 --> 00:44:58,000
Jag får liksom inte betalt per timme liksom.
1296 00:44:58,000 --> 00:45:00,000
Och då ska det hinnas med en gäng grejer.
1297 00:45:00,000 --> 00:45:02,000
Precis som du säger.
1298 00:45:02,000 --> 00:45:04,000
Då har man ju en metodlista i huvudet.
1299 00:45:04,000 --> 00:45:06,000
Baserat lite på vad det är man testar.
1300 00:45:06,000 --> 00:45:08,000
Och då har man vissa faser.
1301 00:45:08,000 --> 00:45:10,000
Jag har ju mycket enumerering.
1302 00:45:10,000 --> 00:45:12,000
Som jag behöver göra väldigt tidigt.
1303 00:45:12,000 --> 00:45:14,000
För att kunna börja jobba.
1304 00:45:14,000 --> 00:45:16,000
Och sen så kommer jag.
1305 00:45:16,000 --> 00:45:18,000
Den kommer ju gå och göra sin grej.
1306 00:45:18,000 --> 00:45:20,000
Sen så kommer jag springa på outputen.
1307 00:45:20,000 --> 00:45:22,000
Från den automationen.
1308 00:45:22,000 --> 00:45:24,000
Men det är ju hela tiden.
1309 00:45:24,000 --> 00:45:26,000
Liksom automations backboneet.
1310 00:45:26,000 --> 00:45:28,000
Som är min röda tråd.
1311 00:45:28,000 --> 00:45:30,000
Men det är ju en metodik.
1312 00:45:30,000 --> 00:45:32,000
Och det är en väldigt tydlig metodik.
1313 00:45:32,000 --> 00:45:34,000
Som du använder det av Jesper.
1314 00:45:34,000 --> 00:45:36,000
I det här liksom.
1315 00:45:36,000 --> 00:45:38,000
Automationsfasen.
1316 00:45:38,000 --> 00:45:40,000
Det handlar ju bara om.
1317 00:45:40,000 --> 00:45:42,000
Att du är effektivare i.
1318 00:45:42,000 --> 00:45:44,000
Det här.
1319 00:45:44,000 --> 00:45:46,000
Att identifiera vilka mål.
1320 00:45:46,000 --> 00:45:48,000
Är intressant att gå efter.
1321 00:45:48,000 --> 00:45:50,000
Jag missförstår mig rätt.
1322 00:45:50,000 --> 00:45:52,000
Jag säger inte att det inte finns en tydlig metodik som används.
1323 00:45:52,000 --> 00:45:54,000
För det gör det definitivt.
1324 00:45:54,000 --> 00:45:56,000
Jag säger bara att.
1325 00:45:56,000 --> 00:45:58,000
Sättet de här standarderna är skrivna på.
1326 00:45:58,000 --> 00:46:00,000
Sällan går att applicera ett till ett.
1327 00:46:00,000 --> 00:46:02,000
Och det är ju inget konstigt med det.
1328 00:46:02,000 --> 00:46:04,000
Men däremot.
1329 00:46:04,000 --> 00:46:06,000
Om du kollar på rubrikerna.
1330 00:46:06,000 --> 00:46:08,000
Hur en pentest standard skulle kunna se ut.
1331 00:46:08,000 --> 00:46:10,000
Det vill säga.
1332 00:46:10,000 --> 00:46:12,000
Recon eller enumerering skulle det kunna vara.
1333 00:46:12,000 --> 00:46:14,000
Exploatering.
1334 00:46:14,000 --> 00:46:16,000
Post exploatering.
1335 00:46:16,000 --> 00:46:18,000
Och så vidare.
1336 00:46:18,000 --> 00:46:20,000
Alla de där sakerna är ju.
1337 00:46:20,000 --> 00:46:22,000
Ingår ju i den pentestmetodiken som man gör.
1338 00:46:22,000 --> 00:46:24,000
Det blir ju som en mikrokosm.
1339 00:46:24,000 --> 00:46:26,000
Av den större metodiken.
1340 00:46:26,000 --> 00:46:28,000
Och likadant.
1341 00:46:28,000 --> 00:46:30,000
Förlåt Peter.
1342 00:46:30,000 --> 00:46:32,000
Just det här med.
1343 00:46:32,000 --> 00:46:34,000
Scope of engagement.
1344 00:46:34,000 --> 00:46:36,000
Hur långt tar vi det här.
1345 00:46:36,000 --> 00:46:38,000
Alltså hur långt drar vi snöret.
1346 00:46:38,000 --> 00:46:40,000
Det vill säga.
1347 00:46:40,000 --> 00:46:42,000
Om ett av målen är.
1348 00:46:42,000 --> 00:46:44,000
Ni ska få access till våra nätverk.
1349 00:46:44,000 --> 00:46:46,000
Där bryter ni.
1350 00:46:46,000 --> 00:46:48,000
Bra då gör vi det.
1351 00:46:48,000 --> 00:46:50,000
Och sen så.
1352 00:46:50,000 --> 00:46:52,000
När man har access till nätverket.
1353 00:46:52,000 --> 00:46:54,000
Då bara.
1354 00:46:54,000 --> 00:46:58,000
Proof of flag.
1355 00:46:58,000 --> 00:47:00,000
Och sen så släpper man.
1356 00:47:00,000 --> 00:47:02,000
Så är det ju liksom.
1357 00:47:02,000 --> 00:47:04,000
I alla tester jag gör.
1358 00:47:04,000 --> 00:47:06,000
Mot de infrastrukturerna och testerna.
1359 00:47:06,000 --> 00:47:08,000
Som du gör Jesper.
1360 00:47:08,000 --> 00:47:10,000
Men om jag jobbar med webb eller mobil.
1361 00:47:10,000 --> 00:47:12,000
Eller vad det nu är.
1362 00:47:12,000 --> 00:47:14,000
Så är det ju ofta så att.
1363 00:47:14,000 --> 00:47:16,000
Post exploatering och se hur långt man kan ta någonting.
1364 00:47:16,000 --> 00:47:18,000
Det är inte på kartan.
1365 00:47:18,000 --> 00:47:20,000
För det som är viktigt är att ha bra coverage.
1366 00:47:20,000 --> 00:47:22,000
Men det är exakt samma för mig också.
1367 00:47:22,000 --> 00:47:24,000
Jag jobbar ju.
1368 00:47:24,000 --> 00:47:26,000
Jag jobbar ju bara på second order egentligen.
1369 00:47:26,000 --> 00:47:28,000
Så att det är ju.
1370 00:47:28,000 --> 00:47:30,000
Det behövs en initial sårbarhet.
1371 00:47:30,000 --> 00:47:32,000
För att göra det jag gör.
1372 00:47:32,000 --> 00:47:34,000
Men det är inte intressant för kunden i det här fallet.
1373 00:47:34,000 --> 00:47:36,000
Så att det går att breacha deras ordinarie miljö.
1374 00:47:36,000 --> 00:47:38,000
Och den görs ju.
1375 00:47:38,000 --> 00:47:40,000
Det är också så.
1376 00:47:40,000 --> 00:47:42,000
Under väldigt kort tid.
1377 00:47:42,000 --> 00:47:44,000
Så måste jag hitta alla möjliga vägar.
1378 00:47:44,000 --> 00:47:46,000
Inte lägga dina fem dagar på att få en sårbarhet.
1379 00:47:46,000 --> 00:47:48,000
Och bli så farlig som möjligt.
1380 00:47:48,000 --> 00:47:50,000
Och det är inte det här som jag vill påtala.
1381 00:47:50,000 --> 00:47:52,000
Post exploitation.
1382 00:47:52,000 --> 00:47:54,000
Och ett rabbit hole.
1383 00:47:54,000 --> 00:47:56,000
Deep dive i någonting.
1384 00:47:56,000 --> 00:47:58,000
Det är sällan till din fördel.
1385 00:47:58,000 --> 00:48:00,000
Men.
1386 00:48:00,000 --> 00:48:02,000
Om jag hoppar in och.
1387 00:48:02,000 --> 00:48:04,000
Modererar.
1388 00:48:04,000 --> 00:48:06,000
Det här med control.
1389 00:48:06,000 --> 00:48:08,000
Nu har vi kommit till rubrik två.
1390 00:48:08,000 --> 00:48:10,000
Så jag ser.
1391 00:48:10,000 --> 00:48:12,000
Jag ser att.
1392 00:48:12,000 --> 00:48:14,000
De här metoderna.
1393 00:48:14,000 --> 00:48:16,000
De kan ge en bild.
1394 00:48:16,000 --> 00:48:18,000
Av ungefär vad är det.
1395 00:48:18,000 --> 00:48:20,000
En erfaren testare gör.
1396 00:48:20,000 --> 00:48:22,000
När den kämpar mot en kort deadline.
1397 00:48:24,000 --> 00:48:26,000
Och jag ser också att de kan vara bra.
1398 00:48:26,000 --> 00:48:28,000
För att utbilda.
1399 00:48:28,000 --> 00:48:30,000
Väldigt juniora pentester.
1400 00:48:30,000 --> 00:48:32,000
Så här är det det går till.
1401 00:48:32,000 --> 00:48:34,000
Och så är det väldigt övertydligt.
1402 00:48:34,000 --> 00:48:36,000
Men.
1403 00:48:36,000 --> 00:48:38,000
När väl det kommer till kritan.
1404 00:48:38,000 --> 00:48:40,000
Och någonting ska göras.
1405 00:48:40,000 --> 00:48:42,000
Så sitter man och är avstressad och gör.
1406 00:48:42,000 --> 00:48:44,000
Alltså det är sjukt vanligt.
1407 00:48:44,000 --> 00:48:46,000
Att man har.
1408 00:48:46,000 --> 00:48:48,000
Flera skal uppe samtidigt.
1409 00:48:48,000 --> 00:48:50,000
Och varje skal sitter och jobbar med någonting.
1410 00:48:50,000 --> 00:48:52,000
Som är i olika delar av kedjan.
1411 00:48:52,000 --> 00:48:54,000
Och man har en sjukt.
1412 00:48:54,000 --> 00:48:56,000
Mycket högre grad av multitaskning.
1413 00:48:56,000 --> 00:48:58,000
Än vad.
1414 00:48:58,000 --> 00:49:00,000
Många väldigt nya pentestare.
1415 00:49:00,000 --> 00:49:02,000
Klarar av.
1416 00:49:02,000 --> 00:49:04,000
Det är ju pentestare från typ.
1417 00:49:04,000 --> 00:49:06,000
Som har ju kommit från några CTF-bolag.
1418 00:49:06,000 --> 00:49:08,000
Som är mycket grymmare än jag.
1419 00:49:08,000 --> 00:49:10,000
Men om man tar en helt fräsch.
1420 00:49:10,000 --> 00:49:12,000
Person från skolan.
1421 00:49:12,000 --> 00:49:14,000
Som inte jobbat med säkerhetstestning innan.
1422 00:49:14,000 --> 00:49:16,000
Så ska man få dem till säkerhetstestare.
1423 00:49:16,000 --> 00:49:18,000
Så en av poängerna.
1424 00:49:18,000 --> 00:49:20,000
Bara få lite ordning i.
1425 00:49:20,000 --> 00:49:22,000
Vad är det egentligen jag själv gör.
1426 00:49:22,000 --> 00:49:24,000
För något när jag stressar.
1427 00:49:24,000 --> 00:49:26,000
En annan har det som en basis.
1428 00:49:26,000 --> 00:49:28,000
För att utbilda.
1429 00:49:28,000 --> 00:49:30,000
Nya människor som kommer och aldrig gjort.
1430 00:49:30,000 --> 00:49:32,000
Säkerhetstester innan.
1431 00:49:32,000 --> 00:49:34,000
Och sen då.
1432 00:49:34,000 --> 00:49:36,000
Om man sitter inne på storföretag.
1433 00:49:36,000 --> 00:49:38,000
Och är på samma ställe.
1434 00:49:38,000 --> 00:49:40,000
Jävligt länge.
1435 00:49:40,000 --> 00:49:42,000
Då kan du ju faktiskt lägga.
1436 00:49:42,000 --> 00:49:44,000
Tyd på de här processerna.
1437 00:49:44,000 --> 00:49:46,000
Men jag tänkte.
1438 00:49:46,000 --> 00:49:48,000
Jag vill kasta in en till där då.
1439 00:49:48,000 --> 00:49:50,000
Om jag får vara.
1440 00:49:50,000 --> 00:49:52,000
För att jag sitter.
1441 00:49:52,000 --> 00:49:54,000
Rätt ofta och hjälper kunder.
1442 00:49:54,000 --> 00:49:56,000
Med upphandling.
1443 00:49:56,000 --> 00:49:58,000
Och att upphandla.
1444 00:49:58,000 --> 00:50:00,000
Ett pentest och förstå.
1445 00:50:00,000 --> 00:50:01,800
Vad är det jag kan få ut av det här.
1446 00:50:02,000 --> 00:50:04,000
Då kan ju en standard.
1447 00:50:04,000 --> 00:50:06,000
Var väldigt bra för då kan du säga.
1448 00:50:06,000 --> 00:50:08,000
Det här och det här och det här vill vi ha.
1449 00:50:08,000 --> 00:50:10,000
Det här är vi inte intresserade av.
1450 00:50:10,000 --> 00:50:12,000
Då kan man ju skopa det mycket bättre.
1451 00:50:12,000 --> 00:50:14,000
Vilket gör det mycket lättare.
1452 00:50:14,000 --> 00:50:16,000
För en leverantör.
1453 00:50:16,000 --> 00:50:18,000
Att förstå vad är det kunden vill ha.
1454 00:50:18,000 --> 00:50:20,000
Och leverera.
1455 00:50:20,000 --> 00:50:22,000
På ett bra sätt.
1456 00:50:22,000 --> 00:50:24,000
Och det är ju sjukt spännande.
1457 00:50:24,000 --> 00:50:26,000
Om man på något sätt faktiskt skulle.
1458 00:50:26,000 --> 00:50:28,000
Så jag vet.
1459 00:50:28,000 --> 00:50:30,000
Det var ju några som ville köpa.
1460 00:50:30,000 --> 00:50:32,000
De ville att våra bolag.
1461 00:50:32,000 --> 00:50:34,000
Skulle göra.
1462 00:50:34,000 --> 00:50:36,000
Alltså en sån här.
1463 00:50:36,000 --> 00:50:38,000
Vad är det det heter.
1464 00:50:38,000 --> 00:50:40,000
QSA.
1465 00:50:40,000 --> 00:50:42,000
PCI DSS.
1466 00:50:42,000 --> 00:50:44,000
QSA.
1467 00:50:44,000 --> 00:50:46,000
Testning.
1468 00:50:46,000 --> 00:50:48,000
På nästan ingen tid alls.
1469 00:50:48,000 --> 00:50:50,000
Vi som så här bara.
1470 00:50:50,000 --> 00:50:52,000
Nej.
1471 00:50:52,000 --> 00:50:54,000
Det är som så här.
1472 00:50:54,000 --> 00:50:56,000
Jag drev i till.
1473 00:50:56,000 --> 00:50:58,000
Så att vi kanske ska sluta.
1474 00:50:58,000 --> 00:51:00,000
Diskutera det här.
1475 00:51:00,000 --> 00:51:02,000
För att liksom.
1476 00:51:02,000 --> 00:51:04,000
Vi ligger så himla.
1477 00:51:04,000 --> 00:51:06,000
Ojämnt då.
1478 00:51:06,000 --> 00:51:08,000
Men om man skulle ha en mer vuxen diskussion.
1479 00:51:08,000 --> 00:51:10,000
Men vad är det du tänkte att vi ska stryka.
1480 00:51:10,000 --> 00:51:12,000
Ska vi stryka all form av planering.
1481 00:51:12,000 --> 00:51:14,000
Eller ska vi stryka.
1482 00:51:14,000 --> 00:51:16,000
Det du är ute på nu är en jättebra poäng.
1483 00:51:16,000 --> 00:51:18,000
Det är också därför jag aldrig skickar en offert till någon.
1484 00:51:18,000 --> 00:51:20,000
Som jag inte har haft ett möte med.
1485 00:51:20,000 --> 00:51:22,000
Expectation management.
1486 00:51:22,000 --> 00:51:24,000
Bara.
1487 00:51:24,000 --> 00:51:26,000
För jag gör alltid det.
1488 00:51:26,000 --> 00:51:28,000
Jag vet hur de jobbar med säkerhet.
1489 00:51:28,000 --> 00:51:30,000
Och om jag.
1490 00:51:30,000 --> 00:51:32,000
Mitt arbetssätt och min metod.
1491 00:51:32,000 --> 00:51:34,000
Jackar in i deras metod.
1492 00:51:34,000 --> 00:51:36,000
Gör den inte det hänvisar de till någon annan.
1493 00:51:36,000 --> 00:51:38,000
Och det är ganska ofta jag säger.
1494 00:51:38,000 --> 00:51:40,000
Gå hit istället.
1495 00:51:40,000 --> 00:51:42,000
Och ganska ofta som folk ringer mig och frågar om ett pentest.
1496 00:51:42,000 --> 00:51:44,000
När de inte vill ha ett pentest.
1497 00:51:44,000 --> 00:51:46,000
Ja precis.
1498 00:51:46,000 --> 00:51:48,000
Och det är ju så här att.
1499 00:51:48,000 --> 00:51:50,000
Och när jag säger då.
1500 00:51:50,000 --> 00:51:52,000
Någonting som jag kör på.
1501 00:51:52,000 --> 00:51:54,000
Jag brukar aldrig ta en större tårtbit än en vecka.
1502 00:51:54,000 --> 00:51:56,000
Max per test.
1503 00:51:56,000 --> 00:51:58,000
Det är typ Kalle Kula och Svirma.
1504 00:51:58,000 --> 00:52:00,000
Jo men vi har ju fått en offert här.
1505 00:52:00,000 --> 00:52:02,000
Som säger att det ska ta 14 dagar.
1506 00:52:02,000 --> 00:52:04,000
Säkert och det är säkert en jättebra anledning till att vi tar det.
1507 00:52:04,000 --> 00:52:06,000
Jag känner bara att.
1508 00:52:06,000 --> 00:52:08,000
Om det ska bli någon form av framkomlighet där.
1509 00:52:08,000 --> 00:52:10,000
Så tänker jag att den här efforten är.
1510 00:52:10,000 --> 00:52:12,000
Vad jag mäktar med.
1511 00:52:12,000 --> 00:52:14,000
Och vad jag tror ni mäktar med som organisation.
1512 00:52:14,000 --> 00:52:16,000
Att ta emot.
1513 00:52:16,000 --> 00:52:18,000
För dels om man ska titta på någonting noggrant.
1514 00:52:18,000 --> 00:52:20,000
Så vill man ha.
1515 00:52:20,000 --> 00:52:22,000
Jag vill ha så lite brus som möjligt.
1516 00:52:22,000 --> 00:52:24,000
Är det 181 olika arbetspaket.
1517 00:52:24,000 --> 00:52:26,000
Då är det svårt för även någon som jag.
1518 00:52:26,000 --> 00:52:28,000
Som gör jättemycket pentest.
1519 00:52:28,000 --> 00:52:30,000
Att hålla fokus.
1520 00:52:30,000 --> 00:52:32,000
Så man vill ju liksom mena.
1521 00:52:32,000 --> 00:52:34,000
Ha bitar som man kan göra bra.
1522 00:52:34,000 --> 00:52:36,000
Och göra mindre.
1523 00:52:36,000 --> 00:52:38,000
Och mer.
1524 00:52:38,000 --> 00:52:40,000
Ja vad ska man säga.
1525 00:52:40,000 --> 00:52:42,000
Riktade effort.
1526 00:52:42,000 --> 00:52:44,000
Men jag bara för att koppla till det här.
1527 00:52:44,000 --> 00:52:46,000
Med metodik och så där.
1528 00:52:46,000 --> 00:52:48,000
Jag tror att checklister är jäkligt bra.
1529 00:52:48,000 --> 00:52:50,000
Det gör jag.
1530 00:52:50,000 --> 00:52:52,000
Så jag har liksom en.
1531 00:52:52,000 --> 00:52:54,000
Kluster till exempel.
1532 00:52:54,000 --> 00:52:56,000
Så har jag liksom byggt en egen KB för mig själv.
1533 00:52:56,000 --> 00:52:58,000
Fan tänk på de här grejerna.
1534 00:52:58,000 --> 00:53:00,000
Det skulle jag gå in på också.
1535 00:53:00,000 --> 00:53:02,000
Bra att du tog upp det.
1536 00:53:02,000 --> 00:53:04,000
För jag tänkte på även i min värld.
1537 00:53:04,000 --> 00:53:06,000
Och framförallt om du är en nyare pentestare.
1538 00:53:06,000 --> 00:53:08,000
Dels att ha kompetens då.
1539 00:53:08,000 --> 00:53:10,000
Se till att du har kompetens.
1540 00:53:10,000 --> 00:53:12,000
Kring alla såbergsklasser.
1541 00:53:12,000 --> 00:53:14,000
Som kan vara relevanta för det du ska testa.
1542 00:53:14,000 --> 00:53:16,000
Är ju ett A liksom.
1543 00:53:16,000 --> 00:53:18,000
Men sen se till att du inte glömmer bort dem.
1544 00:53:18,000 --> 00:53:20,000
Alltså det kan ju vara så.
1545 00:53:20,000 --> 00:53:22,000
Alltså refereras det i pentestrapporter och så där.
1546 00:53:22,000 --> 00:53:24,000
Men det har testats för sans 25.
1547 00:53:24,000 --> 00:53:26,000
Blablabla.
1548 00:53:26,000 --> 00:53:28,000
Oras top 10 eller vad du nu vill.
1549 00:53:28,000 --> 00:53:30,000
Men se till då.
1550 00:53:30,000 --> 00:53:32,000
Att du har gått in och tittat på.
1551 00:53:32,000 --> 00:53:34,000
Sans 25 och sett så här.
1552 00:53:34,000 --> 00:53:36,000
Okej har jag faktiskt testat för alla de här grejerna.
1553 00:53:36,000 --> 00:53:38,000
Är de applicerbara.
1554 00:53:38,000 --> 00:53:40,000
Har jag faktiskt gjort coverage på de här.
1555 00:53:40,000 --> 00:53:42,000
Ja.
1556 00:53:42,000 --> 00:53:44,000
För det ska du kunna svara på.
1557 00:53:44,000 --> 00:53:46,000
Och annars skulle du kunna säga att.
1558 00:53:46,000 --> 00:53:48,000
Nej men under den här veckan.
1559 00:53:48,000 --> 00:53:50,000
Vi har inte gått in och kollat på accesskontrollerna.
1560 00:53:50,000 --> 00:53:52,000
För det föll out of scope.
1561 00:53:52,000 --> 00:53:54,000
Under den tiden vi hade.
1562 00:53:54,000 --> 00:53:56,000
Så man svarar upp till det som man faktiskt har.
1563 00:53:56,000 --> 00:53:58,000
Sagt att man ska göra.
1564 00:53:58,000 --> 00:54:00,000
Precis och jag tror framförallt då om du är.
1565 00:54:00,000 --> 00:54:02,000
Nyare i branschen har.
1566 00:54:02,000 --> 00:54:04,000
Som du säger checklistor och ser till att.
1567 00:54:04,000 --> 00:54:06,000
Hur är min coverage.
1568 00:54:06,000 --> 00:54:08,000
Det är ju det ofta sådana här standarder är.
1569 00:54:08,000 --> 00:54:10,000
Mer eller mindre elaborate checklistor.
1570 00:54:10,000 --> 00:54:12,000
Fast kanske då.
1571 00:54:12,000 --> 00:54:14,000
Med svåra ord om man förstår inte.
1572 00:54:14,000 --> 00:54:16,000
Men det blir ju så här.
1573 00:54:16,000 --> 00:54:18,000
Om det ska vara applicerbart på i många.
1574 00:54:18,000 --> 00:54:20,000
Målmiljöer så måste du öka abstraktionsnivån.
1575 00:54:20,000 --> 00:54:22,000
Nu är jag ju.
1576 00:54:22,000 --> 00:54:24,000
Nörd som läser standarder och sådant.
1577 00:54:24,000 --> 00:54:26,000
Men jag vill ju hävda att next guide till.
1578 00:54:26,000 --> 00:54:28,000
Ventest.
1579 00:54:28,000 --> 00:54:30,000
Eller informationssäkerhetstestning eller vad de nu kallar den.
1580 00:54:30,000 --> 00:54:32,000
Att den är inte speciellt.
1581 00:54:32,000 --> 00:54:34,000
Svårläst alltså.
1582 00:54:34,000 --> 00:54:36,000
Det är förvisso många sidor.
1583 00:54:36,000 --> 00:54:38,000
Men alltså.
1584 00:54:38,000 --> 00:54:40,000
För jag tror att det är en sån här.
1585 00:54:40,000 --> 00:54:42,000
Grej som många.
1586 00:54:42,000 --> 00:54:44,000
Jag möter det här.
1587 00:54:44,000 --> 00:54:46,000
Ganska ofta i.
1588 00:54:46,000 --> 00:54:48,000
Mitt arbete.
1589 00:54:48,000 --> 00:54:50,000
Att jag har människor som.
1590 00:54:50,000 --> 00:54:52,000
De vill inte läsa standarderna.
1591 00:54:52,000 --> 00:54:54,000
För att de utgår från att standarderna.
1592 00:54:54,000 --> 00:54:56,000
Är väldigt hemska.
1593 00:54:56,000 --> 00:54:58,000
Och svåra och så.
1594 00:54:58,000 --> 00:55:00,000
Och alla standarder.
1595 00:55:00,000 --> 00:55:02,000
Är inte jättesvåra.
1596 00:55:02,000 --> 00:55:04,000
Och de här pentesterna.
1597 00:55:04,000 --> 00:55:06,000
Alltså.
1598 00:55:06,000 --> 00:55:08,000
Det mesta är ganska enkel engelska.
1599 00:55:08,000 --> 00:55:10,000
Det jag tänkte säga är.
1600 00:55:10,000 --> 00:55:12,000
Jag tänkte att jag snabbt går igenom.
1601 00:55:12,000 --> 00:55:14,000
Framförallt.
1602 00:55:14,000 --> 00:55:16,000
Allt en del av den här.
1603 00:55:16,000 --> 00:55:18,000
Standarden som vi gillar då.
1604 00:55:18,000 --> 00:55:20,000
Och i våran.
1605 00:55:20,000 --> 00:55:22,000
Technical guide to information.
1606 00:55:22,000 --> 00:55:24,000
Security testing and assessment.
1607 00:55:24,000 --> 00:55:26,000
Så har vi en figur.
1608 00:55:26,000 --> 00:55:28,000
5.1 som jag gillar.
1609 00:55:28,000 --> 00:55:30,000
Och nu får ju ni då som sitter ute i cyberspace.
1610 00:55:30,000 --> 00:55:32,000
Får ju tänka sig då.
1611 00:55:32,000 --> 00:55:34,000
Jag tänker prata primärt om.
1612 00:55:34,000 --> 00:55:36,000
Tre av fyra boxar i bilden.
1613 00:55:36,000 --> 00:55:38,000
Den första.
1614 00:55:38,000 --> 00:55:40,000
Den första boxen.
1615 00:55:40,000 --> 00:55:42,000
Är ju planning.
1616 00:55:42,000 --> 00:55:44,000
När man liksom sätter.
1617 00:55:44,000 --> 00:55:46,000
Omständigheterna på.
1618 00:55:46,000 --> 00:55:48,000
Under vilka former.
1619 00:55:48,000 --> 00:55:50,000
Gör vi testet.
1620 00:55:50,000 --> 00:55:52,000
Vilken typ av rapportering kräver ni.
1621 00:55:52,000 --> 00:55:54,000
Vad får vi pilla på.
1622 00:55:54,000 --> 00:55:56,000
Vad får vi inte pilla på.
1623 00:55:56,000 --> 00:55:58,000
Men liksom bara sätta basis.
1624 00:55:58,000 --> 00:56:00,000
Och också tänka ut.
1625 00:56:00,000 --> 00:56:02,000
Hur stort är skopet.
1626 00:56:02,000 --> 00:56:04,000
Hur mycket folk har vi.
1627 00:56:04,000 --> 00:56:06,000
Hur mycket tid har vi.
1628 00:56:06,000 --> 00:56:08,000
Men liksom göra initial planering.
1629 00:56:08,000 --> 00:56:10,000
Sen kommer boxen discovery.
1630 00:56:10,000 --> 00:56:12,000
Som Asper pratade om.
1631 00:56:12,000 --> 00:56:14,000
Att göra en nummerering.
1632 00:56:14,000 --> 00:56:16,000
Automatiserad förståelse av systemet.
1633 00:56:16,000 --> 00:56:18,000
Och sådana saker.
1634 00:56:18,000 --> 00:56:20,000
Att liksom.
1635 00:56:20,000 --> 00:56:22,000
Liksom fixa så att du förstår målet.
1636 00:56:22,000 --> 00:56:24,000
Och gärna.
1637 00:56:24,000 --> 00:56:26,000
Jag tycker att jag har jättestor nytta.
1638 00:56:26,000 --> 00:56:28,000
Av att arkivera.
1639 00:56:28,000 --> 00:56:30,000
Jättemycket av discovery arbetet.
1640 00:56:30,000 --> 00:56:32,000
För sen när någon hör av sig.
1641 00:56:32,000 --> 00:56:34,000
Och säger att.
1642 00:56:34,000 --> 00:56:36,000
Det går inte att förstå en finding.
1643 00:56:36,000 --> 00:56:38,000
Tre månader senare.
1644 00:56:38,000 --> 00:56:40,000
Okej vad är det som inte går att förstå.
1645 00:56:40,000 --> 00:56:42,000
Okej det är det här du undrar.
1646 00:56:42,000 --> 00:56:44,000
Ja.
1647 00:56:44,000 --> 00:56:46,000
Exakt de här containrarna.
1648 00:56:46,000 --> 00:56:48,000
Exakt de här konfigurationerna.
1649 00:56:48,000 --> 00:56:50,000
Exakt det här var det som fanns.
1650 00:56:50,000 --> 00:56:52,000
Därför att.
1651 00:56:52,000 --> 00:56:54,000
För i synnerhet då om man då har.
1652 00:56:54,000 --> 00:56:56,000
Återkommande väldigt snarlika mål.
1653 00:56:56,000 --> 00:56:58,000
Så kan man ju.
1654 00:56:58,000 --> 00:57:00,000
Bygga upp.
1655 00:57:00,000 --> 00:57:02,000
En väldigt automatiserad discovery.
1656 00:57:02,000 --> 00:57:04,000
Som funkar på ungefär samma sätt.
1657 00:57:04,000 --> 00:57:06,000
Och du kan arkivera undan den.
1658 00:57:06,000 --> 00:57:08,000
Så att det är lätt att återkomma till den.
1659 00:57:08,000 --> 00:57:10,000
När någon vill veta information.
1660 00:57:10,000 --> 00:57:12,000
Om man kanske finns i en.
1661 00:57:12,000 --> 00:57:14,000
Men där är ju väldigt viktigt då.
1662 00:57:14,000 --> 00:57:16,000
När du håller på med.
1663 00:57:16,000 --> 00:57:18,000
Förändriga grejer.
1664 00:57:18,000 --> 00:57:20,000
Typ som container orkestrering och sånt där.
1665 00:57:20,000 --> 00:57:22,000
Att du i din ticket så måste ju.
1666 00:57:22,000 --> 00:57:24,000
Alla beståndsställare framgå.
1667 00:57:24,000 --> 00:57:26,000
Så är det så att du.
1668 00:57:26,000 --> 00:57:28,000
Påvisar en.
1669 00:57:28,000 --> 00:57:30,000
Trasig konfigurationsdel.
1670 00:57:30,000 --> 00:57:32,000
Så måste ju den vara med.
1671 00:57:32,000 --> 00:57:34,000
Ja och.
1672 00:57:34,000 --> 00:57:36,000
Alltså det måste ju finnas en referens till den.
1673 00:57:36,000 --> 00:57:38,000
För annars kommer ju kunden säga nej men den fanns inte.
1674 00:57:38,000 --> 00:57:40,000
Jag skulle vilja.
1675 00:57:40,000 --> 00:57:42,000
Tillägga en sak.
1676 00:57:42,000 --> 00:57:44,000
Alltså att liksom.
1677 00:57:44,000 --> 00:57:46,000
Men nu blir det semantik här.
1678 00:57:46,000 --> 00:57:48,000
Logga hela.
1679 00:57:48,000 --> 00:57:50,000
Hela din process.
1680 00:57:50,000 --> 00:57:52,000
Helst ska du liksom fan ha.
1681 00:57:52,000 --> 00:57:54,000
Net.
1682 00:57:54,000 --> 00:57:56,000
TCP dump.
1683 00:57:56,000 --> 00:57:58,000
Alltså det här det håller inte.
1684 00:57:58,000 --> 00:58:00,000
Det du säger nu är bara knasigt.
1685 00:58:00,000 --> 00:58:02,000
För du vet så här.
1686 00:58:02,000 --> 00:58:04,000
Jesper.
1687 00:58:04,000 --> 00:58:06,000
Låt mig ta ett exempel då.
1688 00:58:06,000 --> 00:58:08,000
Från.
1689 00:58:08,000 --> 00:58:10,000
Verkligheten.
1690 00:58:10,000 --> 00:58:12,000
Och du var med.
1691 00:58:12,000 --> 00:58:14,000
Vi slog på ett testsystem.
1692 00:58:14,000 --> 00:58:16,000
Som påverkade produktionen.
1693 00:58:16,000 --> 00:58:18,000
Minns du.
1694 00:58:18,000 --> 00:58:20,000
Vad jag pratade om?
1695 00:58:20,000 --> 00:58:22,000
Nej jag kommer inte ihåg.
1696 00:58:22,000 --> 00:58:24,000
Men det är ju skitsamma.
1697 00:58:24,000 --> 00:58:26,000
Min poäng är annorlunda.
1698 00:58:26,000 --> 00:58:28,000
När de kommer och säger.
1699 00:58:28,000 --> 00:58:30,000
Ja men ni slog ju på produktionssystemet.
1700 00:58:30,000 --> 00:58:32,000
Nej det gjorde vi inte.
1701 00:58:32,000 --> 00:58:34,000
Vi slog på precis de här IP-adresserna.
1702 00:58:34,000 --> 00:58:36,000
Som ni gav oss.
1703 00:58:36,000 --> 00:58:38,000
Och de slog vi på.
1704 00:58:38,000 --> 00:58:40,000
Och sen så.
1705 00:58:40,000 --> 00:58:42,000
Visade det sig att.
1706 00:58:42,000 --> 00:58:44,000
Ja fast produktionssystemet.
1707 00:58:44,000 --> 00:58:46,000
Gick visst i samma VM.
1708 00:58:46,000 --> 00:58:48,000
Och är kluster.
1709 00:58:48,000 --> 00:58:50,000
Ja men det här kommer jag nog ihåg.
1710 00:58:50,000 --> 00:58:52,000
Det där var ju bara skit bakom spakarna.
1711 00:58:52,000 --> 00:58:54,000
Ja men det är bra att man kan gå tillbaka.
1712 00:58:54,000 --> 00:58:56,000
Men då är det otroligt viktigt.
1713 00:58:56,000 --> 00:58:58,000
Att ha torrt på fötterna och kunna visa.
1714 00:58:58,000 --> 00:59:00,000
Kolla här det här gjorde vi.
1715 00:59:00,000 --> 00:59:02,000
Det här och vi har hållt oss.
1716 00:59:02,000 --> 00:59:04,000
Inom ramarna.
1717 00:59:04,000 --> 00:59:06,000
Skiten träffar fläkten.
1718 00:59:06,000 --> 00:59:08,000
Du var helt rätt i sak.
1719 00:59:08,000 --> 00:59:10,000
Men det jag vill komma till här då.
1720 00:59:10,000 --> 00:59:12,000
Med att behålla states på ett kluster till exempel.
1721 00:59:12,000 --> 00:59:14,000
Ja det suger ju typ om du gör en clusterdump.
1722 00:59:14,000 --> 00:59:16,000
Och den är åtta gig.
1723 00:59:16,000 --> 00:59:18,000
Ja.
1724 00:59:18,000 --> 00:59:20,000
Så det beror ju på skala.
1725 00:59:20,000 --> 00:59:22,000
Har du liksom ett bolag, ett infrastruktur.
1726 00:59:22,000 --> 00:59:24,000
Du dumpar all delas.
1727 00:59:24,000 --> 00:59:26,000
Potentiella liksom.
1728 00:59:26,000 --> 00:59:28,000
P2-data och produktionsdata.
1729 00:59:28,000 --> 00:59:30,000
Rätt ner i en fil.
1730 00:59:30,000 --> 00:59:32,000
Som ligger på din dator.
1731 00:59:32,000 --> 00:59:34,000
Det kan man ju ifrågasätta.
1732 00:59:34,000 --> 00:59:36,000
Jag köper det också.
1733 00:59:36,000 --> 00:59:38,000
Men ibland är det viktigt att ha dokumentation.
1734 00:59:38,000 --> 00:59:40,000
Det är gött att ha kvar det man har gjort.
1735 00:59:40,000 --> 00:59:42,000
Och veta vad man har gjort.
1736 00:59:42,000 --> 00:59:44,000
Exempelvis du sitter och jobbar i burp.
1737 00:59:44,000 --> 00:59:46,000
Du sparar alla dina projektfiler.
1738 00:59:46,000 --> 00:59:48,000
Exakt vad jag vill komma till.
1739 00:59:48,000 --> 00:59:50,000
Det viktiga är att du har traction för ditt proof of work.
1740 00:59:50,000 --> 00:59:52,000
Det vill säga.
1741 00:59:52,000 --> 00:59:54,000
När du hittar den här findingen.
1742 00:59:54,000 --> 00:59:56,000
Hur kan kunden göra med native-aktiv.
1743 00:59:56,000 --> 00:59:58,000
För att hitta samma sak.
1744 00:59:58,000 --> 01:00:00,000
Ja.
1745 01:00:00,000 --> 01:00:02,000
Det tror jag är viktigt.
1746 01:00:02,000 --> 01:00:04,000
Jag var inne på steget rapportering då.
1747 01:00:04,000 --> 01:00:06,000
Men det ser ut som så här.
1748 01:00:06,000 --> 01:00:08,000
Det de säger i sin metod.
1749 01:00:08,000 --> 01:00:10,000
Är nästa steg.
1750 01:00:10,000 --> 01:00:12,000
Efter att man har gjort discovery.
1751 01:00:12,000 --> 01:00:14,000
Och i verkligheten.
1752 01:00:14,000 --> 01:00:16,000
Som Jesper var inne på.
1753 01:00:16,000 --> 01:00:18,000
Alla stegen sker ju parallellt i verkligheten.
1754 01:00:18,000 --> 01:00:20,000
Det är ett.
1755 01:00:20,000 --> 01:00:22,000
Det är teoretiskt ett vattenfallsflöde.
1756 01:00:22,000 --> 01:00:24,000
Men du sitter ju alltid och jobbar med.
1757 01:00:24,000 --> 01:00:26,000
Under tiden som ett discovery.
1758 01:00:26,000 --> 01:00:28,000
Jobben står och körs.
1759 01:00:28,000 --> 01:00:30,000
Så sitter du ju då.
1760 01:00:30,000 --> 01:00:32,000
En effektiv vettig testare.
1761 01:00:32,000 --> 01:00:34,000
Så sitter du ju och jobbar.
1762 01:00:34,000 --> 01:00:36,000
På nästa steg i modellen.
1763 01:00:36,000 --> 01:00:38,000
Det vill säga attackerna då.
1764 01:00:38,000 --> 01:00:40,000
Då går du utifrån det.
1765 01:00:40,000 --> 01:00:42,000
Där du har sett.
1766 01:00:42,000 --> 01:00:44,000
Antingen då om du har en tydlig.
1767 01:00:44,000 --> 01:00:46,000
Indikation på att någonting verkar.
1768 01:00:46,000 --> 01:00:48,000
Svårbart från ditt discovery arbete.
1769 01:00:48,000 --> 01:00:50,000
Ja då testar du ju och verifierar en attack du vet.
1770 01:00:50,000 --> 01:00:52,000
Eller om du bara.
1771 01:00:52,000 --> 01:00:54,000
Liksom så här okej men den här grunkan.
1772 01:00:54,000 --> 01:00:56,000
Vill man göra mer.
1773 01:00:56,000 --> 01:00:58,000
Manuella tester på.
1774 01:00:58,000 --> 01:01:00,000
Och vad de tar fasta på då.
1775 01:01:00,000 --> 01:01:02,000
Är att.
1776 01:01:02,000 --> 01:01:04,000
En attack.
1777 01:01:04,000 --> 01:01:06,000
Om den lyckas.
1778 01:01:06,000 --> 01:01:08,000
Så är tanken att den ska.
1779 01:01:08,000 --> 01:01:10,000
Vida tillbaka in i discovery modellen igen.
1780 01:01:10,000 --> 01:01:12,000
Och där kan man tänka sig.
1781 01:01:12,000 --> 01:01:14,000
Att det är två grejer.
1782 01:01:14,000 --> 01:01:16,000
Så se till exempel att du vid.
1783 01:01:16,000 --> 01:01:18,000
Manuellt pentest.
1784 01:01:18,000 --> 01:01:20,000
Så hittar du att.
1785 01:01:20,000 --> 01:01:22,000
Ja men på det här sättet.
1786 01:01:22,000 --> 01:01:24,000
Så lyckas jag göra det här.
1787 01:01:24,000 --> 01:01:26,000
Och det är jättekult och jättefarligt.
1788 01:01:26,000 --> 01:01:28,000
Ja men är det då tanken att du ska stanna där.
1789 01:01:28,000 --> 01:01:30,000
Eller.
1790 01:01:30,000 --> 01:01:32,000
För här står du.
1791 01:01:32,000 --> 01:01:34,000
Du står egentligen när du hittat ett säkerhetsråd.
1792 01:01:34,000 --> 01:01:36,000
Och verifierat det på riktigt.
1793 01:01:36,000 --> 01:01:38,000
Så står du inför tre val.
1794 01:01:38,000 --> 01:01:40,000
Det ena är att du är jävligt nöjd.
1795 01:01:40,000 --> 01:01:42,000
Och tycker att du har gjort ditt jobb.
1796 01:01:42,000 --> 01:01:44,000
Fan nu kan jag lägga mig och.
1797 01:01:44,000 --> 01:01:46,000
Bara slappa liksom för nu har jag hittat något.
1798 01:01:46,000 --> 01:01:48,000
Den andra nivån.
1799 01:01:48,000 --> 01:01:50,000
Är ju att du gör.
1800 01:01:50,000 --> 01:01:52,000
Additional discovery och försöker hitta.
1801 01:01:52,000 --> 01:01:54,000
Generaliseringen av problemet.
1802 01:01:54,000 --> 01:01:56,000
Finns det något sätt där jag kan hitta.
1803 01:01:56,000 --> 01:01:58,000
Liksom nu när jag vet.
1804 01:01:58,000 --> 01:02:00,000
Det här faktiskt var en riktigt exploaterbar sårbarhet.
1805 01:02:00,000 --> 01:02:02,000
Finns det något sätt där jag kan.
1806 01:02:02,000 --> 01:02:04,000
Generalisera det och ganska enkelt.
1807 01:02:04,000 --> 01:02:06,000
Få ut en lista med.
1808 01:02:06,000 --> 01:02:08,000
200 andra instanser.
1809 01:02:08,000 --> 01:02:10,000
Som har precis samma.
1810 01:02:10,000 --> 01:02:12,000
Typ av säkerhetsråd.
1811 01:02:12,000 --> 01:02:14,000
Ehm.
1812 01:02:14,000 --> 01:02:16,000
En annan variant kan ju vara då att om du.
1813 01:02:16,000 --> 01:02:18,000
I din attack kanske du lyckas göra.
1814 01:02:18,000 --> 01:02:20,000
En lättare movement så att du är.
1815 01:02:20,000 --> 01:02:22,000
Plötsligt inne i ett annat nätverk.
1816 01:02:22,000 --> 01:02:24,000
Ja då är det ju dags.
1817 01:02:24,000 --> 01:02:26,000
Att börja göra discovery i det nya nätverket.
1818 01:02:26,000 --> 01:02:28,000
Om du får lov att testa det vidare.
1819 01:02:28,000 --> 01:02:30,000
För nu är du ju inte längre.
1820 01:02:30,000 --> 01:02:32,000
På det stället du har gjort discovery.
1821 01:02:32,000 --> 01:02:34,000
Du är inne i ett helt annat nät.
1822 01:02:34,000 --> 01:02:36,000
Här är det ju farligt nära scope drift smurf.
1823 01:02:36,000 --> 01:02:38,000
För det du säger nu.
1824 01:02:38,000 --> 01:02:40,000
Är nog sant för väldigt många.
1825 01:02:40,000 --> 01:02:42,000
Men för liksom.
1826 01:02:42,000 --> 01:02:44,000
I mitt skrå.
1827 01:02:44,000 --> 01:02:46,000
Så är det coverage återigen.
1828 01:02:46,000 --> 01:02:48,000
Det blir att.
1829 01:02:48,000 --> 01:02:50,000
Hittar man.
1830 01:02:50,000 --> 01:02:52,000
Man utvecklar ju snabbt en känsla.
1831 01:02:52,000 --> 01:02:54,000
För hur saker och ting borde vara.
1832 01:02:54,000 --> 01:02:56,000
Och hittar man då en sårbarhetsklass.
1833 01:02:56,000 --> 01:02:58,000
Vi pratade lite om ACL.
1834 01:02:58,000 --> 01:03:00,000
Det vill säga att man tittar på egress och ingress grejer.
1835 01:03:00,000 --> 01:03:02,000
I vårt fall så.
1836 01:03:02,000 --> 01:03:04,000
Eller i mitt fall får jag säga.
1837 01:03:04,000 --> 01:03:06,000
Så.
1838 01:03:06,000 --> 01:03:08,000
Det är inte viktigt.
1839 01:03:08,000 --> 01:03:10,000
För att har vi rätt förutsättningar.
1840 01:03:10,000 --> 01:03:12,000
Så behöver vi inte gissa något mer.
1841 01:03:12,000 --> 01:03:14,000
För att vi måste vara effektiva med kundens tid.
1842 01:03:14,000 --> 01:03:16,000
Och därmed vår tid.
1843 01:03:16,000 --> 01:03:18,000
Så vi måste automatisera den delen också.
1844 01:03:18,000 --> 01:03:20,000
Men det finns ju definitivt fall där.
1845 01:03:20,000 --> 01:03:22,000
Sårbarheter kan som du säger.
1846 01:03:22,000 --> 01:03:24,000
Återkomma i kod.
1847 01:03:24,000 --> 01:03:26,000
Och att det kan informera.
1848 01:03:26,000 --> 01:03:28,000
Discovery processen.
1849 01:03:28,000 --> 01:03:30,000
Eller snarare attack processen.
1850 01:03:30,000 --> 01:03:32,000
För att hitta andra sårbarheter.
1851 01:03:32,000 --> 01:03:34,000
Typ SSRF.
1852 01:03:34,000 --> 01:03:36,000
Jag kollade på.
1853 01:03:36,000 --> 01:03:38,000
Jag gjorde ett retest nu.
1854 01:03:38,000 --> 01:03:40,000
På en produkt där arbetsgivaren har köpt den här produkten.
1855 01:03:40,000 --> 01:03:42,000
Vi testar produkten åt dem.
1856 01:03:42,000 --> 01:03:44,000
Där har vi inte tillgång till källkod.
1857 01:03:44,000 --> 01:03:46,000
Och sådana saker.
1858 01:03:46,000 --> 01:03:48,000
Men genom en sårbarhet som vi hittade.
1859 01:03:48,000 --> 01:03:50,000
Som var en local file read.
1860 01:03:50,000 --> 01:03:52,000
Så kunde vi se allt som kördes på servern.
1861 01:03:52,000 --> 01:03:54,000
Läsa logfiler.
1862 01:03:54,000 --> 01:03:56,000
Källkod, det som fanns och sådana saker.
1863 01:03:56,000 --> 01:03:58,000
Vilket hjälpte oss då till att hitta en massa andra sårbarheter.
1864 01:03:58,000 --> 01:04:00,000
Och i det fallet tycker jag att det är fullständigt legitimt.
1865 01:04:00,000 --> 01:04:02,000
För att scopet är applikationen.
1866 01:04:02,000 --> 01:04:04,000
Om man är fair enough.
1867 01:04:04,000 --> 01:04:06,000
Det som är tydligt här.
1868 01:04:06,000 --> 01:04:08,000
När jag lyssnar på vad vi pratar om.
1869 01:04:08,000 --> 01:04:10,000
Det är att det beror på.
1870 01:04:10,000 --> 01:04:12,000
Det gör det säkert.
1871 01:04:12,000 --> 01:04:14,000
Det beror på vilken infallsvinkel man har i det.
1872 01:04:14,000 --> 01:04:16,000
Vi alla har lite olika.
1873 01:04:16,000 --> 01:04:18,000
Men jag tror att dela med sig av metodik.
1874 01:04:18,000 --> 01:04:20,000
Till nya medarbetare.
1875 01:04:20,000 --> 01:04:22,000
Men också en grej som vi glömde innan här.
1876 01:04:22,000 --> 01:04:24,000
Det är att dela resurserna.
1877 01:04:24,000 --> 01:04:26,000
Dela pentestrapporter.
1878 01:04:26,000 --> 01:04:28,000
Gör dem sökbara.
1879 01:04:28,000 --> 01:04:30,000
Så att vi kan skapa lärande.
1880 01:04:30,000 --> 01:04:32,000
Och hjälp att komma förbi tekniska hurdles.
1881 01:04:32,000 --> 01:04:34,000
Det tror jag också är viktigt.
1882 01:04:34,000 --> 01:04:36,000
Jag jobbar ju ensam i 9 fall av 10.
1883 01:04:36,000 --> 01:04:38,000
Då är det väldigt gött att kunna ha ett repo.
1884 01:04:38,000 --> 01:04:40,000
Där man kan leta efter liknande sårbarheter.
1885 01:04:40,000 --> 01:04:42,000
Eller läsa på.
1886 01:04:42,000 --> 01:04:44,000
Vad gjorde jag då?
1887 01:04:44,000 --> 01:04:46,000
Fan, det här känner jag igen. Hur var det nu?
1888 01:04:46,000 --> 01:04:48,000
Så att du hela tiden kan gå tillbaka och refresh your memory.
1889 01:04:48,000 --> 01:04:50,000
För att allting ser olika ut.
1890 01:04:50,000 --> 01:04:52,000
Men jag tänker att i vissa fall.
1891 01:04:52,000 --> 01:04:54,000
Det ska vara superenkelt.
1892 01:04:54,000 --> 01:04:56,000
För.
1893 01:04:56,000 --> 01:04:58,000
Säg till exempel att.
1894 01:04:58,000 --> 01:05:00,000
Du lyckas göra någonting.
1895 01:05:00,000 --> 01:05:02,000
Riktigt häftigt.
1896 01:05:02,000 --> 01:05:04,000
Med en viss podd.
1897 01:05:04,000 --> 01:05:06,000
Du gör någonting.
1898 01:05:06,000 --> 01:05:08,000
Och du får en allvarlig impact.
1899 01:05:08,000 --> 01:05:10,000
På hela systemet.
1900 01:05:10,000 --> 01:05:12,000
På ett sätt.
1901 01:05:12,000 --> 01:05:14,000
Som känns jätteotrevligt.
1902 01:05:14,000 --> 01:05:16,000
Och som inte borde vara.
1903 01:05:16,000 --> 01:05:18,000
Det är ju inte ovanligt.
1904 01:05:18,000 --> 01:05:20,000
Att du.
1905 01:05:20,000 --> 01:05:22,000
Additional discovery.
1906 01:05:22,000 --> 01:05:24,000
Behöver inte vara mycket mer annonserat.
1907 01:05:24,000 --> 01:05:26,000
Än att du.
1908 01:05:26,000 --> 01:05:28,000
Kör kubectl.
1909 01:05:28,000 --> 01:05:30,000
Benom listan på alla poddar.
1910 01:05:30,000 --> 01:05:32,000
Och sen så skriver du ett snyggt.
1911 01:05:32,000 --> 01:05:34,000
Iq hack.
1912 01:05:34,000 --> 01:05:36,000
Och helt plötsligt bara skjuter du ut en lista.
1913 01:05:36,000 --> 01:05:38,000
Med varenda hundratals instans.
1914 01:05:38,000 --> 01:05:40,000
Som har samma felkonfiguration.
1915 01:05:40,000 --> 01:05:42,000
Som den du har hittat.
1916 01:05:42,000 --> 01:05:44,000
Och påvisat.
1917 01:05:44,000 --> 01:05:46,000
Ett riktigt problem i ett.
1918 01:05:46,000 --> 01:05:48,000
Stickprov.
1919 01:05:48,000 --> 01:05:50,000
Så då kan du säga. Här har jag det här stickprovet.
1920 01:05:50,000 --> 01:05:52,000
En manuell testning.
1921 01:05:52,000 --> 01:05:54,000
Att det är skit att det är på det här sättet.
1922 01:05:54,000 --> 01:05:56,000
Lista med de 200 andra ställena.
1923 01:05:56,000 --> 01:05:58,000
Jag tycker att ni också borde rätta den.
1924 01:05:58,000 --> 01:06:00,000
När ni rättar det här felet.
1925 01:06:00,000 --> 01:06:02,000
Men det ska ju nästan ske i just enumerationsfas.
1926 01:06:02,000 --> 01:06:04,000
Det är ju liksom anomalier.
1927 01:06:04,000 --> 01:06:06,000
Nu tror jag vi är inne lite mer på.
1928 01:06:06,000 --> 01:06:08,000
Configuration review ur ett säkerhetsperspektiv.
1929 01:06:08,000 --> 01:06:10,000
Men det ska ju.
1930 01:06:10,000 --> 01:06:12,000
Är du så långt in i munbyggnadsstacken.
1931 01:06:12,000 --> 01:06:14,000
Så har du ganska bra förutsättningar.
1932 01:06:14,000 --> 01:06:16,000
Att lista allting.
1933 01:06:16,000 --> 01:06:18,000
Automationmässigt.
1934 01:06:18,000 --> 01:06:20,000
Men då gäller det också att man vet om.
1935 01:06:20,000 --> 01:06:22,000
Vilken konfiguration som är gynnsam.
1936 01:06:22,000 --> 01:06:24,000
För den attackerare.
1937 01:06:24,000 --> 01:06:26,000
Och då är vi åter tillbaka i det här kunskapsledet.
1938 01:06:26,000 --> 01:06:28,000
Det blir bara så bra som den.
1939 01:06:28,000 --> 01:06:30,000
De pentesten du redan har gjort.
1940 01:06:30,000 --> 01:06:32,000
Alltså den samlade erfarenheten.
1941 01:06:32,000 --> 01:06:34,000
Men det tycker jag är en bra poäng.
1942 01:06:34,000 --> 01:06:36,000
Eller om du har ett team som är bra på att dela.
1943 01:06:36,000 --> 01:06:38,000
Liksom lära upp varandra och dela på något sätt.
1944 01:06:38,000 --> 01:06:40,000
Att sätta det in.
1945 01:06:40,000 --> 01:06:42,000
Det i sin process.
1946 01:06:42,000 --> 01:06:44,000
För det är någonting som jag har börjat med.
1947 01:06:44,000 --> 01:06:46,000
Ganska mycket då.
1948 01:06:46,000 --> 01:06:48,000
Vad gjorde jag för ny grej här.
1949 01:06:48,000 --> 01:06:50,000
Och så lägger jag in det i min KB.
1950 01:06:50,000 --> 01:06:52,000
Det är det som vi har.
1951 01:06:52,000 --> 01:06:54,000
För företaget jag arbetar på.
1952 01:06:54,000 --> 01:06:56,000
Innan en rapport skickas till en kund.
1953 01:06:56,000 --> 01:06:58,000
Så går den igenom två reviewfaser.
1954 01:06:58,000 --> 01:07:00,000
Där en av dem är för att se till att.
1955 01:07:00,000 --> 01:07:02,000
Det är inga stavfel och det ser jävligt bra ut.
1956 01:07:02,000 --> 01:07:04,000
Men den andra är en tech review.
1957 01:07:04,000 --> 01:07:06,000
Som ska genomföras av någon annan pentestare.
1958 01:07:06,000 --> 01:07:08,000
Som kommer gå in och läsa alla findings.
1959 01:07:08,000 --> 01:07:10,000
Läsa alla conclusions.
1960 01:07:10,000 --> 01:07:12,000
Och se till att.
1961 01:07:12,000 --> 01:07:14,000
Det här makes sense.
1962 01:07:14,000 --> 01:07:16,000
Och det behöver inte vara så jävla avancerat.
1963 01:07:16,000 --> 01:07:18,000
För ofta så ser det bra ut.
1964 01:07:18,000 --> 01:07:20,000
Ofta så är det inte så mycket man behöver påpeka.
1965 01:07:20,000 --> 01:07:22,000
Men det är ett väldigt effektivt sätt att.
1966 01:07:22,000 --> 01:07:24,000
Dela kunskap.
1967 01:07:24,000 --> 01:07:26,000
Jag har en bra.
1968 01:07:26,000 --> 01:07:28,000
Livslära från.
1969 01:07:28,000 --> 01:07:30,000
En av mina första arbetsplatser.
1970 01:07:30,000 --> 01:07:32,000
När.
1971 01:07:32,000 --> 01:07:34,000
Chefen ringde och sa att.
1972 01:07:34,000 --> 01:07:36,000
Jag vet att du är jättesjuk.
1973 01:07:36,000 --> 01:07:38,000
Men.
1974 01:07:38,000 --> 01:07:40,000
Att du inte är här stoppar tydligen.
1975 01:07:40,000 --> 01:07:42,000
De här mjukvarureleaserna.
1976 01:07:44,000 --> 01:07:46,000
Du måste komma in.
1977 01:07:46,000 --> 01:07:48,000
Du måste hjälpa oss lösa det.
1978 01:07:48,000 --> 01:07:50,000
Och jag är där.
1979 01:07:50,000 --> 01:07:52,000
Jag är där och jobbar.
1980 01:07:52,000 --> 01:07:54,000
Och är liksom.
1981 01:07:54,000 --> 01:07:56,000
Det är ju uppenbart för alla mina kollegor.
1982 01:07:56,000 --> 01:07:58,000
Vid det tillfället att.
1983 01:07:58,000 --> 01:08:00,000
Jag tangerar ju.
1984 01:08:00,000 --> 01:08:02,000
Att liksom inte vara för fullt medvetande.
1985 01:08:02,000 --> 01:08:04,000
Men jag slutför ju uppgiften.
1986 01:08:04,000 --> 01:08:06,000
Och när jag lämnar då.
1987 01:08:06,000 --> 01:08:08,000
Så kommer chefen fram.
1988 01:08:08,000 --> 01:08:10,000
Och säger så här.
1989 01:08:10,000 --> 01:08:12,000
Det var jätteschysst att du hjälpte till.
1990 01:08:12,000 --> 01:08:14,000
Att fixa det här.
1991 01:08:14,000 --> 01:08:16,000
Vi måste se till att vi aldrig behöver ringa in dig igen.
1992 01:08:16,000 --> 01:08:18,000
Liksom när du är sjuk.
1993 01:08:18,000 --> 01:08:20,000
Och det är en.
1994 01:08:20,000 --> 01:08:22,000
I synnerhet då.
1995 01:08:22,000 --> 01:08:24,000
Men det är en sak.
1996 01:08:24,000 --> 01:08:26,000
Jag jobbar väldigt mycket.
1997 01:08:26,000 --> 01:08:28,000
Hela tiden på att det ska vara lätt.
1998 01:08:28,000 --> 01:08:30,000
Att kicka ut mig.
1999 01:08:30,000 --> 01:08:32,000
Jag ska lämna efter mig så mycket som möjligt.
2000 01:08:32,000 --> 01:08:34,000
Och göra det.
2001 01:08:34,000 --> 01:08:36,000
Så bra hela tiden.
2002 01:08:36,000 --> 01:08:38,000
Det är väl som man alltid ska jobba som konsult.
2003 01:08:38,000 --> 01:08:40,000
Ja precis.
2004 01:08:40,000 --> 01:08:42,000
Plockar du in någon som konsult.
2005 01:08:42,000 --> 01:08:44,000
Så är ju inte meningen att du ska bygga in dig.
2006 01:08:44,000 --> 01:08:46,000
Och göra dig till den här.
2007 01:08:46,000 --> 01:08:48,000
Den oersättliga.
2008 01:08:48,000 --> 01:08:50,000
Utan tvärtom.
2009 01:08:50,000 --> 01:08:52,000
Är du bra så ska du jobba på.
2010 01:08:52,000 --> 01:08:54,000
Att göra dig så ersättbar som möjligt.
2011 01:08:54,000 --> 01:08:56,000
Och lämna så mycket efter dig.
2012 01:08:56,000 --> 01:08:58,000
Som det bara går.
2013 01:08:58,000 --> 01:09:00,000
Mattias har gjort.
2014 01:09:00,000 --> 01:09:02,000
Det hemliga tecknet.
2015 01:09:02,000 --> 01:09:04,000
Som säger att vi har tjatat för länge.
2016 01:09:04,000 --> 01:09:06,000
Gissa vad det är för tecken.
2017 01:09:06,000 --> 01:09:08,000
Skicka din gif.
2018 01:09:08,000 --> 01:09:10,000
Man vinner något.
2019 01:09:10,000 --> 01:09:12,000
Tack för ditt medverkande.
2020 01:09:12,000 --> 01:09:14,000
Tack så mycket Peter.
2021 01:09:14,000 --> 01:09:16,000
Hej.
2022 01:09:16,000 --> 01:09:18,000
Jasper.
2023 01:09:18,000 --> 01:09:20,000
Och jag var Peter.
2024 01:09:20,000 --> 01:09:22,000
Och Rickard är med också.
2025 01:09:22,000 --> 01:09:24,000
Du glömmer mig i Stockholm.
2026 01:09:24,000 --> 01:09:26,000
Även om jag inte är på plats.
2027 01:09:26,000 --> 01:09:28,000
Nej men det är ju så här.
2028 01:09:28,000 --> 01:09:30,000
Exil.
2029 01:09:30,000 --> 01:09:32,000
Om du ger fel telefonnummer.
2030 01:09:32,000 --> 01:09:34,000
Då klarar du inte av det.
2031 01:09:34,000 --> 01:09:36,000
Och jag själv har varit Peter.
2032 01:09:36,000 --> 01:09:38,000
Och jag hoppas att ni har en fantastisk dag.
2033 01:09:38,000 --> 01:09:40,000
Hej.
2034 01:09:40,000 --> 01:09:42,000
Ha det gött.
2035 01:09:42,000 --> 01:09:44,000
Hej.
2036 01:09:44,000 --> 01:09:46,000
Det är inget rört.
2037 01:09:46,000 --> 01:09:48,000
Rickard tryck på den röda knappen.
2038 01:09:48,000 --> 01:09:50,000
Den röda knappen är tryckt.
2039 01:09:50,000 --> 01:09:52,000
Giften har räknat.
2040 01:09:52,000 --> 01:09:54,000
Hej.
2041 01:09:54,000 --> 01:09:56,000
Jag har inga siffror på min nya priv.
2042 01:09:56,000 --> 01:09:58,000
Hej och välkommen till säkerhetsprogrammet.
2043 01:09:58,000 --> 01:10:00,000
Vi tar det helt en gång.
2044 01:10:02,000 --> 01:10:04,000
Exakt samma pitch också.
2045 01:10:04,000 --> 01:10:06,000
Rolling for silence.