Säkerhetspodcasten #189 - Ostrukturerat V.42
Lyssna
Innehåll
I dagens avsnitt diskuterar panelen minus Johan den senaste tidens nyheter.
Inspelat: 2020-10-07. Längd: 01:11:49.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:04,180
Hej och välkomna till Säkerhetspodcasten. Jag som talar heter Jesper Larsson.
2 00:00:04,340 --> 00:00:09,100
Med mig idag har jag Peter Magnusson, den magiske,
3 00:00:09,860 --> 00:00:12,980
Rickard Bofors, bakom en dator nära dig,
4 00:00:13,460 --> 00:00:16,000
och Mattias Idage, huggad tjacka.
5 00:00:16,720 --> 00:00:22,900
Johan är med oss i Självslikt. Han är förkyld och han har feber också.
6 00:00:23,220 --> 00:00:24,480
Kanske corona, vi vet inte.
7 00:00:24,500 --> 00:00:28,260
Jag tänkte säga det. Ungdomarna får ju covid, har jag hört.
8 00:00:28,260 --> 00:00:30,300
Det är så att han har varit ute och slarvat.
9 00:00:30,700 --> 00:00:33,000
Han är ju faktiskt en hockeyspelare.
10 00:00:33,900 --> 00:00:35,760
Ja, just det. Hockeyspelare var också en grej.
11 00:00:36,780 --> 00:00:40,280
Detta är såklart ett ostrukturerat avsnitt som ni alla hör redan nu.
12 00:00:41,180 --> 00:00:46,880
Vi kanske ska säga att det här avsnittet spelas in den 7 oktober.
13 00:00:47,440 --> 00:00:48,160
Ja, det gör det.
14 00:00:48,720 --> 00:00:52,100
De som sponsrar oss är det eminenta säkerhetsbolaget Ashord,
15 00:00:52,200 --> 00:00:53,880
som man kan läsa mer om på ashord.se.
16 00:00:54,480 --> 00:00:58,120
Det är precis lika eminenta säkerhetsbolaget Bofors Consulting,
17 00:00:58,120 --> 00:00:59,860
som man kan läsa om på bofors.se.
18 00:01:00,380 --> 00:01:03,900
Och 0x4a, som man kan läsa om på 0x4a.se.
19 00:01:04,540 --> 00:01:06,300
Vi har lite plugs faktiskt.
20 00:01:07,360 --> 00:01:10,360
Ska Matt-Rickard börja då? Du har varit med och gästat i en podcast.
21 00:01:10,960 --> 00:01:17,280
Ja, och där kom helt out of the blue en inbjudan att vara med i
22 00:01:17,280 --> 00:01:24,960
Mnemonic Security Podcast, som är en podcast som ett företag som heter Mnemonic
23 00:01:24,960 --> 00:01:28,080
håller på och gör främst för sin e-post.
24 00:01:28,080 --> 00:01:28,100
Ja, det är en podcast som är en podcast som ett företag som heter Mnemonic.
25 00:01:28,100 --> 00:01:32,200
Det är en av mina kunder, men den finns på alla podcastsplattformar.
26 00:01:32,520 --> 00:01:36,180
Annars kan man gå till mnemonic.no.
27 00:01:36,540 --> 00:01:40,820
Det är ett norskt företag, eller deras huvudkontor är i Oslo i alla fall.
28 00:01:42,120 --> 00:01:48,620
Och de har lite fokus på OT, alltså Operational Technology, ICS,
29 00:01:49,540 --> 00:01:53,740
Threat Intelligence och lite sånt där.
30 00:01:53,740 --> 00:01:57,860
Och de har bland annat haft en serie podcasts,
31 00:01:57,860 --> 00:02:01,700
med lite fokus på säkerhet inom ICS och OT.
32 00:02:01,960 --> 00:02:09,180
Och då fick jag möjligheten att vara med och prata om forensik i OT-världen.
33 00:02:09,420 --> 00:02:10,400
Så det var lite spännande.
34 00:02:10,620 --> 00:02:16,760
Så ett kort samtal med deras host, Robby Peralta.
35 00:02:17,200 --> 00:02:21,880
Och där vi pratade lite allmänt forensik och vad man bör tänka på
36 00:02:21,880 --> 00:02:27,380
för om man har ett industriellt kontrollnät som man
37 00:02:27,860 --> 00:02:33,740
vill skydda och göra sig redo för att kunna hantera incidenter och så vidare.
38 00:02:34,260 --> 00:02:35,280
Så det var riktigt spännande.
39 00:02:35,540 --> 00:02:36,060
Coolt!
40 00:02:36,300 --> 00:02:39,640
Är detta på engelska eller är det på skandinaviska?
41 00:02:40,140 --> 00:02:46,300
Den var på engelska och de har några avsnitt på norska.
42 00:02:46,540 --> 00:02:52,180
Men merparten av avsnitten är på engelska.
43 00:02:52,440 --> 00:02:57,820
Så jag har lyssnat igenom några stycken av dem och det har varit intressanta ämnen.
44 00:02:57,820 --> 00:03:06,020
Särskilt skulle jag säga om man ägnar sig åt ICS-skadaverksamhet.
45 00:03:06,260 --> 00:03:14,200
För att de har ganska mycket fokus på gäster från norska kraftcert eller liknande
46 00:03:14,460 --> 00:03:18,040
som jobbar med just skydd av industriella kontrollsystem.
47 00:03:18,560 --> 00:03:22,400
Så det var jättekul att vara med och det blev ett bra avsnitt.
48 00:03:22,660 --> 00:03:27,260
Jag har tjuvlyssnat på det och förhoppningsvis så finns det ute
49 00:03:27,820 --> 00:03:29,620
där detta avsnittet släpps.
50 00:03:30,120 --> 00:03:36,260
Så gå in på mnemonic.no och klicka er fram till deras podcast.
51 00:03:37,040 --> 00:03:38,320
Så kan ni lyssna på mig där.
52 00:03:39,860 --> 00:03:40,880
Mäktigt!
53 00:03:41,380 --> 00:03:43,700
Och vi hade fått lite feedback va?
54 00:03:44,980 --> 00:03:46,260
Så borde vi lyssna på folk.
55 00:03:46,500 --> 00:03:47,540
Det borde vi.
56 00:03:47,780 --> 00:03:48,300
Vi försöker.
57 00:03:48,560 --> 00:03:51,620
Vårt Password Manager-avsnitt har fått lite feedback.
58 00:03:52,660 --> 00:03:53,680
Hade vi gjort fel?
59 00:03:54,440 --> 00:03:57,000
Det är klart att vi hade gjort fel. Det gör vi väl alltid.
60 00:03:57,820 --> 00:03:58,580
Det tycker jag också.
61 00:03:58,840 --> 00:04:00,380
Det är Carl Castor
62 00:04:00,640 --> 00:04:03,200
som jag har sprungit på i det fysiska livet flera gånger.
63 00:04:03,460 --> 00:04:06,020
Men är han glad eller är han arg på oss får du börja med att berätta nu.
64 00:04:06,260 --> 00:04:07,800
Nej, nej, nej. Det kommer här.
65 00:04:08,060 --> 00:04:08,580
Det börjar så här.
66 00:04:09,340 --> 00:04:10,100
Dudes!
67 00:04:10,880 --> 00:04:12,660
Ni borde prata mer om riskerna.
68 00:04:12,920 --> 00:04:19,060
Till exempel om man har lösenordet till ett system som inte är nåbart över internet i en databas som syns över internet
69 00:04:19,320 --> 00:04:22,400
så krävs det förutom access till lösenordet dessutom access till systemet.
70 00:04:23,160 --> 00:04:24,700
Det var den första inputen han hade.
71 00:04:24,960 --> 00:04:25,860
Sedan följde han upp med
72 00:04:25,980 --> 00:04:27,780
Sedan glömde ni prata om andra funktioner.
73 00:04:28,080 --> 00:04:28,580
Som man kanske vill ha.
74 00:04:29,360 --> 00:04:31,140
Ett bug bounty-program kopplat till produkten.
75 00:04:31,920 --> 00:04:34,480
Kanske have I been born-övervakning på konton.
76 00:04:35,500 --> 00:04:42,920
Bra input där. Även om jag är lite osäker på om jag hänger med på den första kommentaren där.
77 00:04:43,180 --> 00:04:46,000
Risk är väl bra, det ska man alltid prata om. Men just
78 00:04:46,260 --> 00:04:48,560
have I been born-koppling är ju inte fel.
79 00:04:48,820 --> 00:04:49,320
Hur då?
80 00:04:50,100 --> 00:04:51,620
Ska vi då typ…
81 00:04:51,880 --> 00:04:53,940
Pratar vi om ettan eller tvåan nu?
82 00:04:55,720 --> 00:04:57,780
Ingen aning. Men jag är rädd för att skicka
83 00:04:58,080 --> 00:05:00,120
någonting till en tredjepart för att validera.
84 00:05:00,640 --> 00:05:06,020
Alltså jag behöver ju ge dem kontot. Vad ska jag ge have I been born? Vad är det jag ska slänga min query mot?
85 00:05:06,520 --> 00:05:07,300
Det är ett username.
86 00:05:07,540 --> 00:05:10,880
De har ett API för att…
87 00:05:11,140 --> 00:05:12,160
Herregud ja!
88 00:05:12,420 --> 00:05:16,500
Vad behöver jag lämna ifrån mig? Jag tror att de kan validera hashar också va?
89 00:05:17,020 --> 00:05:17,540
Ja.
90 00:05:18,300 --> 00:05:19,580
Det vill jag inte ge bort.
91 00:05:22,900 --> 00:05:24,700
Det är ett reget svärd är det.
92 00:05:25,720 --> 00:05:26,240
Ja.
93 00:05:27,260 --> 00:05:27,780
Ja.
94 00:05:28,080 --> 00:05:29,860
Det är jävligt svårt.
95 00:05:30,120 --> 00:05:33,200
Alltså men risk är… Jag är nog inne på att
96 00:05:33,960 --> 00:05:37,540
det är det viktigaste. Vad är jag rädd för? Vad är det värsta som kan hända?
97 00:05:38,060 --> 00:05:42,660
Men sen också det här med att om man nu har ett lösenord som
98 00:05:42,920 --> 00:05:46,760
alltså i den där till ett system som inte är kopplat till internet.
99 00:05:47,020 --> 00:05:48,820
Alltså ja visst, det
100 00:05:49,320 --> 00:05:53,940
tar ju bort smidigheten i att kunna liksom
101 00:05:54,700 --> 00:05:56,240
kontroll C, kontroll V
102 00:05:56,500 --> 00:05:57,780
rakt in i passen.
103 00:05:58,080 --> 00:05:58,580
Passwordfältet.
104 00:06:01,140 --> 00:06:06,520
Självklart så om det är ett system som inte är kopplat till internet så finns inte den funktionen.
105 00:06:06,780 --> 00:06:08,580
Men det är så jag hanterar
106 00:06:08,820 --> 00:06:13,440
liksom alla mina lösenord som jag har i min password manager på telefonen.
107 00:06:13,700 --> 00:06:18,560
Det vill säga att jag läser det och så skriver jag av det och det är knöligt och krångligt.
108 00:06:19,060 --> 00:06:21,380
Men vill man vara säker så är det så man får göra.
109 00:06:22,660 --> 00:06:23,160
Mm.
110 00:06:24,440 --> 00:06:27,780
Yes, jag är inte säker på att vi förstod den frågan rätt.
111 00:06:28,080 --> 00:06:34,220
Men vänner i panelen, kasta er över på Twitter för där finns den här
112 00:06:34,480 --> 00:06:37,540
kommentaren under eller kopplat till kontot
113 00:06:37,800 --> 00:06:39,080
sakspodcasten.
114 00:06:39,340 --> 00:06:41,140
Så gå med i debatten där.
115 00:06:41,900 --> 00:06:42,660
Will do.
116 00:06:44,200 --> 00:06:46,760
Okej, ska vi snacka lite nyheter kanske?
117 00:06:47,280 --> 00:06:48,040
Har det hänt något?
118 00:06:48,820 --> 00:06:56,500
Jag tar befälet för jag vill prata om en av mina favoritmänniskor i it-säkerhetsvärlden genom tiderna.
119 00:06:57,020 --> 00:06:58,800
Och det är allas vår
120 00:06:59,060 --> 00:07:00,340
John McAfee. Jesper Larsson!
121 00:07:04,700 --> 00:07:10,320
Det var ett tag sedan vi pratade om John McAfee här på podcasten.
122 00:07:10,580 --> 00:07:12,380
Så vi får väl, för de som är nya
123 00:07:13,140 --> 00:07:14,420
så får vi berätta lite vem det är.
124 00:07:14,940 --> 00:07:17,240
Som man kan tro på namnet.
125 00:07:17,740 --> 00:07:23,900
För de som är unga så kanske vi får berätta hela historien om vad han började.
126 00:07:24,400 --> 00:07:25,420
Det var det jag tänkte.
127 00:07:25,420 --> 00:07:30,020
Man kan ju höra på namnet lite att det hänger ihop med antivirusprodukten McAfee och mycket riktigt.
128 00:07:30,280 --> 00:07:35,920
Men det började tidigare än så. Det började faktiskt 1945 när John McAfee föddes i USA.
129 00:07:36,180 --> 00:07:38,740
Han är 75 bast i år.
130 00:07:39,500 --> 00:07:41,300
Han hade en
131 00:07:41,540 --> 00:07:44,880
amerikansk militär till pappa och en brittisk mamma tror jag eller någonting.
132 00:07:45,140 --> 00:07:51,780
Han växte upp och blev en Bachelor of Science i matte. Jobbade för NASA ett tag.
133 00:07:52,300 --> 00:07:55,120
Var fan var han med någonstans?
134 00:07:55,420 --> 00:07:59,260
Jag kommer inte riktigt ihåg men han jobbade som systemutvecklare under ganska många år
135 00:07:59,520 --> 00:08:02,580
på ett flertal större företag i USA.
136 00:08:03,860 --> 00:08:06,420
Under den här perioden så fick han
137 00:08:06,680 --> 00:08:08,980
brain-viruset på sin dator.
138 00:08:09,240 --> 00:08:15,380
När han försökte bli av med det här viruset så började han fundera lite på hur ska man kunna hålla de här virusen
139 00:08:15,640 --> 00:08:16,920
borta från sina datorer.
140 00:08:17,180 --> 00:08:21,540
Ett par år senare 1987 så grundade han McAfee Enterprises
141 00:08:21,780 --> 00:08:23,320
som då gjorde antivirus.
142 00:08:24,100 --> 00:08:25,120
Det gick rätt bra för mig.
143 00:08:25,420 --> 00:08:27,460
Det var McAfee initialt företaget då.
144 00:08:27,720 --> 00:08:31,560
Men efter bara sju år så lämnade han bolaget.
145 00:08:31,820 --> 00:08:34,640
Han behöll dock en liten ägandedel som han sålde
146 00:08:34,900 --> 00:08:39,500
ytterligare två år senare 1996 när McAfee börsintroducerades.
147 00:08:40,260 --> 00:08:42,060
Han känner en del deg på det här.
148 00:08:42,820 --> 00:08:46,920
Som han investerade i blandade startups.
149 00:08:47,440 --> 00:08:53,580
När vi kommer till år 2009 så hade hans förmögenhet på ungefär 100 miljoner dollar
150 00:08:53,840 --> 00:08:55,380
minskat till 4 miljoner dollar.
151 00:08:55,680 --> 00:08:56,180
Endast.
152 00:08:56,440 --> 00:08:57,460
Det var ju väldigt synd honom då.
153 00:08:58,500 --> 00:09:00,540
Han köpte
154 00:09:01,060 --> 00:09:02,840
ett fett hus i Belize.
155 00:09:04,640 --> 00:09:06,420
Och dit flyttade han.
156 00:09:06,680 --> 00:09:08,740
Och började
157 00:09:09,240 --> 00:09:10,520
odla örter.
158 00:09:11,040 --> 00:09:16,420
Officiellt med syftet att hitta antibiotika tror jag det var.
159 00:09:16,920 --> 00:09:23,060
Men det var vissa som hävdade att det var helt andra intressen som gällde. Och det var helt andra örter också.
160 00:09:23,060 --> 00:09:28,940
Och sen började det hända lite knepigheter kring vår vän McAfee.
161 00:09:29,720 --> 00:09:35,860
Han blev arresterad i Belize för, jag kommer inte ihåg vad det första
162 00:09:36,120 --> 00:09:40,220
åtalet handlade om, vad han hade gjort då riktigt.
163 00:09:40,720 --> 00:09:46,100
Han drev den här verksamheten med de här örterna utan tillstånd eller något här tror jag.
164 00:09:46,620 --> 00:09:52,760
Det var i april 2012 så blev han arresterad men släppt och blev faktiskt inte åtalad för någonting.
165 00:09:52,760 --> 00:09:54,300
Han var bara lite förhörd där ett tag.
166 00:09:55,060 --> 00:10:00,700
Senare samma år, i november 2012, så blev det dåligt på riktigt.
167 00:10:02,240 --> 00:10:05,820
Det som hände då var att en granne
168 00:10:06,320 --> 00:10:12,220
och då är det inte så att det var två meter till den här grannen för de bodde ju på mansions där utan jag tror den här grannen bodde på en ö.
169 00:10:12,720 --> 00:10:15,280
Men det var den närmaste grannen han hade där ute i alla fall.
170 00:10:15,540 --> 00:10:20,160
Han dog. Han blev ihjälslagen eller någonting.
171 00:10:20,920 --> 00:10:22,460
John McAfee var då en person of evil.
172 00:10:22,760 --> 00:10:24,040
Interest i det här fallet.
173 00:10:24,300 --> 00:10:31,720
Han förhördes och sen stack han från landet McAfee.
174 00:10:31,980 --> 00:10:33,260
Han lämnade alltså
175 00:10:35,820 --> 00:10:41,200
landet och reste till Guatemala för att slippa bli intervjuad. Han litade inte på polisen, sa han.
176 00:10:41,960 --> 00:10:46,560
Och när han var i Guatemala så besökte
177 00:10:47,080 --> 00:10:52,720
Wise honom, Wise Magazine och tog ett foto på honom och med hjälp av Exif-data från det foton.
178 00:10:53,020 --> 00:10:55,580
Så lyckades då polisen i Guatemala hitta honom.
179 00:10:55,840 --> 00:10:57,620
Och lämnade ut honom till USA.
180 00:10:59,160 --> 00:11:03,760
Där så körde han rattfull. Gifte sig med en prostituerad.
181 00:11:04,280 --> 00:11:06,580
Körde rattfull med vapen.
182 00:11:08,880 --> 00:11:15,040
Blev på något sätt inblandad i en… Jo sen blev han stämd om det här dråpet.
183 00:11:15,280 --> 00:11:17,840
Eller misstänkt dråp mot den här grannen i Belize.
184 00:11:18,360 --> 00:11:20,400
Och var inblandad i ett rättsfall där under flera år.
185 00:11:20,920 --> 00:11:22,200
Sen 2019.
186 00:11:23,020 --> 00:11:25,580
Då lämnade han USA på grund av lite skatteproblem.
187 00:11:26,080 --> 00:11:29,160
Och har hållit sig borta från USA sedan dess.
188 00:11:29,420 --> 00:11:34,800
Blev bland annat gripen i Dominikanska republiken en sväng men blev släppt igen.
189 00:11:35,040 --> 00:11:36,320
Vapeninnehav var det då.
190 00:11:36,840 --> 00:11:41,960
Sen gjorde han ett stunt i Norge i augusti 2020, alltså ganska nyligen.
191 00:11:42,220 --> 00:11:48,360
Där han hävdade att han hade blivit arresterad när han använde en thong, alltså en stringtrosa,
192 00:11:48,620 --> 00:11:51,940
istället för ett munskydd för att skydda sig i covid.
193 00:11:51,940 --> 00:11:53,980
Men det var bara ett publicity-stunt.
194 00:11:55,260 --> 00:11:56,540
Och nu är vi framme i nutid.
195 00:11:56,800 --> 00:12:01,420
Det som hänt nu är att John McAfee faktiskt är arresterad.
196 00:12:01,660 --> 00:12:04,740
I Spanien blev han arresterad den 5 oktober.
197 00:12:05,000 --> 00:12:08,840
För just de här skattebrotten då, och nu ska han då lämnas ut till USA.
198 00:12:09,340 --> 00:12:11,140
Skattebrotten består i
199 00:12:11,400 --> 00:12:16,520
att han har då tjänat en massa pengar som han har undanhållit från myndigheter.
200 00:12:17,020 --> 00:12:21,640
Och hur har han då tjänat de här pengarna? Ja, bland annat att han varit med i en antal företag under den här perioden.
201 00:12:21,940 --> 00:12:23,480
Det är 2014-2018.
202 00:12:23,980 --> 00:12:30,900
Massa startupbolag och lite Android-mjukvaror som heter Cognizant också, som tror jag är till för.
203 00:12:31,660 --> 00:12:36,020
Vad fan var det det var? Det var något bra iallafall. Den höll koll på din telefon så ingen gjorde något dumt med den tror jag på något sätt.
204 00:12:37,300 --> 00:12:40,380
Men så har han också fiddlat lite med kryptovalutor.
205 00:12:40,880 --> 00:12:49,080
Och han har även köpt en hel del fastigheter och stora båtar och sånt i andras namn.
206 00:12:49,340 --> 00:12:51,120
Så han har liksom jobbat med att hålla
207 00:12:51,940 --> 00:12:58,080
pengar borta från den amerikanska staten. Och det gillar inte den amerikanska staten, så därför har de nu begärt honom att häkta då.
208 00:12:58,340 --> 00:13:03,200
Jag tror han var inblandad i ganska många sådana här Initial Coin Offerings, sådana här scams.
209 00:13:03,460 --> 00:13:07,300
Där de kom ut nya kryptovalutor och så tog de en jävla massa pengar och drog.
210 00:13:09,100 --> 00:13:13,180
Så det var John McAfee, och han är lite av en följetång i podcasten.
211 00:13:13,440 --> 00:13:20,620
Och en kär följetång, för det var verkligen så att en utav våra första avsnitt handlade om McAfee.
212 00:13:20,860 --> 00:13:21,640
Avsnittet handlar om McAfee.
213 00:13:21,940 --> 00:13:23,740
Avsnitt nummer tre handlade om
214 00:13:23,980 --> 00:13:25,020
Bathsalt.
215 00:13:25,520 --> 00:13:28,340
Intressanta attackvektorer och då var Exif med.
216 00:13:28,860 --> 00:13:34,740
Då hade inte den här Wisegayen hänt, men den hände alltså typ veckan efter.
217 00:13:35,260 --> 00:13:40,620
Så att redan avsnitt 6 tror jag det var, så tog vi upp det här att
218 00:13:41,140 --> 00:13:47,280
McAfees Exif-data, att vi liksom hade förutspått det nästan i det tidigare avsnittet vi hade spelat in.
219 00:13:47,800 --> 00:13:51,900
Sen så i avsnitt 15
220 00:13:52,200 --> 00:13:56,040
så pratar vi om en YouTube-stunt han har gjort.
221 00:13:56,300 --> 00:13:59,880
Han gjorde How to install McAfee antivirus.
222 00:14:00,140 --> 00:14:01,420
How to uninstall väl?
223 00:14:01,660 --> 00:14:04,740
Sorry, How to uninstall.
224 00:14:05,000 --> 00:14:06,540
En intressant YouTube-rulle.
225 00:14:07,300 --> 00:14:10,620
Och i avsnitt 21 så pratade vi ännu mer
226 00:14:10,880 --> 00:14:13,700
om YouTube, för han har gjort en…
227 00:14:13,960 --> 00:14:20,100
Han har gjort en del konstiga grejer i McAfee då. De här YouTube-filmerna är ju ett sånt.
228 00:14:20,360 --> 00:14:21,640
Ibland är Bitcoin en annan.
229 00:14:21,940 --> 00:14:26,800
Han har hävdat att han kan hacka iPhone. Kommer ni ihåg den där San Bernardino-killer?
230 00:14:27,060 --> 00:14:33,200
Som var en sån jävla rabalder med att FBI ville att Apple skulle låsa upp en telefon. Ja, det sa ju
231 00:14:33,460 --> 00:14:35,000
givetvis McAfee att det där löser jag.
232 00:14:35,260 --> 00:14:36,780
Kom bara till mig så fixar jag det.
233 00:14:37,300 --> 00:14:43,180
Han har varit presidentkandidat i USA två gånger, alltså både 2016 och 2020.
234 00:14:43,700 --> 00:14:47,800
Det är en märklig man.
235 00:14:48,060 --> 00:14:50,360
Och ett steg upp från Trump.
236 00:14:50,860 --> 00:14:51,640
Ja, ja.
237 00:14:51,940 --> 00:14:52,960
Han vet alltså.
238 00:14:53,220 --> 00:14:58,080
För han är, jag tror vi har sagt det flera gånger, John McAfee, han är skogstokig liksom.
239 00:14:58,340 --> 00:15:00,380
Det har varit lite för mycket kemikalier i den hjärnan.
240 00:15:03,200 --> 00:15:09,340
Så vi får väl se vad som händer nu. Det senaste var då att, vad de nu heter,
241 00:15:09,600 --> 00:15:15,740
Finansdepartementet eller någonting i USA sa att ja, han ska lämnas ut, men det finns ingen tidsplan för det här än.
242 00:15:16,000 --> 00:15:17,800
Det är inte satt exakt när och var det ska hända.
243 00:15:18,300 --> 00:15:19,840
Och vad det betyder det vet jag inte.
244 00:15:21,940 --> 00:15:26,300
Men han kommer nog skaka galler eller betala en jävla massa pengar.
245 00:15:26,800 --> 00:15:27,580
Eller båda två.
246 00:15:28,600 --> 00:15:30,900
Vi har inte hört det sista om John McAfee med andra ord då.
247 00:15:31,420 --> 00:15:33,720
Det är jag helt övertygad om att vi inte har liksom.
248 00:15:34,220 --> 00:15:37,560
Ja just det, en sak jag missade var ju också att han har ju varit inne i
249 00:15:37,820 --> 00:15:41,660
legala battles över namnet McAfee också.
250 00:15:42,940 --> 00:15:47,280
För Intel köpte McAfee under en period och
251 00:15:47,540 --> 00:15:50,860
då ville, i den vevan så var
252 00:15:50,860 --> 00:15:53,680
McAfee inblandad i ett bolag som hette
253 00:15:53,940 --> 00:15:56,240
MGT Capital Investment tror jag.
254 00:15:56,500 --> 00:16:02,640
Och det skulle, när han då blev CEO där så skulle det byta namn till typ McAfee Capital Investment eller något här.
255 00:16:03,140 --> 00:16:07,760
Då stämde inte honom eller någonting och sa att nej det får du inte, vi äger rätten till det namnet.
256 00:16:08,020 --> 00:16:14,160
Och då var det ju en ny Youtube-video givetvis. Han hävdade ju att nej, jag har ändå
257 00:16:14,420 --> 00:16:15,940
rätten att heta det jag heter.
258 00:16:17,480 --> 00:16:19,020
Så det är mycket med den pojken.
259 00:16:19,780 --> 00:16:20,560
Interesting.
260 00:16:20,860 --> 00:16:21,620
Ja.
261 00:16:21,880 --> 00:16:26,240
När vi ändå är inne på virusar och malware och sånt där då.
262 00:16:26,500 --> 00:16:30,340
En liten övergång så har det
263 00:16:31,100 --> 00:16:35,960
nyligen släppts en intressant analys av
264 00:16:36,480 --> 00:16:39,540
en UEFI trojan.
265 00:16:40,060 --> 00:16:42,100
Som då är en
266 00:16:42,880 --> 00:16:48,000
firmware implantat kan man säga som fungerar som en
267 00:16:48,260 --> 00:16:50,560
Trojan Downloader.
268 00:16:50,860 --> 00:16:56,500
Den deployar ju alla sorters av olika elak kod i datorn och är ju väldigt
269 00:16:56,740 --> 00:17:00,080
persistent då eftersom att det ligger i bioset.
270 00:17:01,100 --> 00:17:05,460
Men den här UEFI-grejen, ligger den där från början eller?
271 00:17:05,700 --> 00:17:08,020
Nej, den borde ju skriva sig själv dit tänker jag.
272 00:17:08,520 --> 00:17:10,320
Ja, precis.
273 00:17:10,580 --> 00:17:17,740
Där har man inte hittat några, vad heter det, conclusive evidens, alltså några tydliga
274 00:17:18,760 --> 00:17:20,820
indikationer på exakt hur man
275 00:17:21,120 --> 00:17:22,660
får in det här implantatet då.
276 00:17:22,900 --> 00:17:24,960
För det kräver ju ändå en
277 00:17:25,460 --> 00:17:27,520
en omflashning av
278 00:17:27,780 --> 00:17:29,060
av bioset.
279 00:17:29,300 --> 00:17:32,120
Och man har sett att
280 00:17:32,380 --> 00:17:37,500
det finns referenser till att det ska installeras via någon
281 00:17:37,760 --> 00:17:39,800
elak USB-pinne.
282 00:17:40,320 --> 00:17:43,380
Men man har inte
283 00:17:43,640 --> 00:17:49,780
hundraprocentigt konstaterat om det fanns någon annan vektor som man kan använda sig av för att få in
284 00:17:50,040 --> 00:17:50,820
det här då i
285 00:17:51,120 --> 00:17:52,900
själva UEFI-förmåga.
286 00:17:53,160 --> 00:17:54,180
Modermodemet?
287 00:17:54,960 --> 00:17:56,500
Precis, in i modermodemet.
288 00:17:57,260 --> 00:18:00,340
Men det här är en intressant write-up av
289 00:18:00,580 --> 00:18:04,180
jag tror det är Kaspersky Labs
290 00:18:04,420 --> 00:18:05,700
som har
291 00:18:05,960 --> 00:18:10,320
gjort en fullständig dissekering av detta och det
292 00:18:11,080 --> 00:18:12,620
ser ut som, i alla fall
293 00:18:12,880 --> 00:18:19,020
indikationer pekar på att det är en kinesiskt talande aktör bakom det.
294 00:18:19,280 --> 00:18:20,820
Och det ser även så ut som att det är en kinesiskt talande aktör bakom det.
295 00:18:21,060 --> 00:18:22,200
Och utom man då tittar på
296 00:18:23,680 --> 00:18:25,460
de mål som har råkat
297 00:18:25,720 --> 00:18:27,520
ha den här
298 00:18:27,780 --> 00:18:30,340
modifierade firmwaren i UEFI då.
299 00:18:30,580 --> 00:18:32,120
För det har varit
300 00:18:32,380 --> 00:18:35,960
sådana här non-governmental organisations
301 00:18:36,220 --> 00:18:38,260
i Afrika, Asien och Europa.
302 00:18:38,520 --> 00:18:39,800
Alla har då haft
303 00:18:40,060 --> 00:18:43,900
kopplingar till aktivitet i Nordkorea.
304 00:18:45,700 --> 00:18:49,920
Det pekar alltså på flera indikationer som pekar på att det här
305 00:18:50,120 --> 00:18:50,820
är kineserna.
306 00:18:50,860 --> 00:18:52,540
som ligger bakom även om
307 00:18:52,540 --> 00:18:54,260
några av
308 00:18:54,260 --> 00:18:56,880
command and control grejerna pekar tillbaks
309 00:18:56,880 --> 00:18:59,380
till mailbox.ru
310 00:18:59,380 --> 00:19:00,120
konton
311 00:19:00,120 --> 00:19:02,960
som är hårdkodade så är det ändå
312 00:19:02,960 --> 00:19:05,020
delar
313 00:19:05,020 --> 00:19:06,820
i koden som ser ut att vara
314 00:19:06,820 --> 00:19:09,180
av kinesiskt ursprung
315 00:19:09,180 --> 00:19:14,840
Den har i alla fall
316 00:19:14,840 --> 00:19:17,020
det här är ett av få exempel
317 00:19:17,020 --> 00:19:18,240
på där man har sett
318 00:19:18,240 --> 00:19:20,620
sådana här UEFI
319 00:19:20,620 --> 00:19:23,560
malwares in the wild
320 00:19:23,560 --> 00:19:24,900
så att det här är
321 00:19:24,900 --> 00:19:26,460
verkligen state actors
322 00:19:26,460 --> 00:19:29,060
och det är state of the art så det bara skriker om det
323 00:19:29,060 --> 00:19:32,320
Oklart hur de
324 00:19:32,320 --> 00:19:34,260
blev varse
325 00:19:34,260 --> 00:19:35,380
att det här
326 00:19:35,380 --> 00:19:38,660
det var någonting trasigt som var på gång
327 00:19:38,660 --> 00:19:39,940
men man hittade då
328 00:19:39,940 --> 00:19:43,040
flertalet misstänkta
329 00:19:43,040 --> 00:19:43,740
UEFI
330 00:19:43,740 --> 00:19:46,320
firmware imager
331 00:19:46,320 --> 00:19:48,180
som man tittade på
332 00:19:48,180 --> 00:19:49,760
och då hittade komponenter
333 00:19:49,760 --> 00:19:50,880
som hade
334 00:19:50,880 --> 00:19:54,460
massa intressanta
335 00:19:54,460 --> 00:19:55,820
artefakter i sig
336 00:19:55,820 --> 00:19:59,020
och det
337 00:19:59,020 --> 00:20:00,820
är löst baserat
338 00:20:00,820 --> 00:20:01,340
på
339 00:20:01,340 --> 00:20:04,680
hackingteams vector edk
340 00:20:04,680 --> 00:20:06,340
bootkit
341 00:20:06,340 --> 00:20:08,100
med då vissa
342 00:20:08,100 --> 00:20:10,900
kustomiseringar som man har gjort
343 00:20:10,900 --> 00:20:13,120
så intressant
344 00:20:13,120 --> 00:20:14,320
Om man hade
345 00:20:14,320 --> 00:20:15,920
aktiverat secure boot
346 00:20:15,920 --> 00:20:17,620
och slått på
347 00:20:17,620 --> 00:20:19,760
till
348 00:20:19,760 --> 00:20:22,140
tillverkaren eller intels nyckel
349 00:20:22,140 --> 00:20:22,480
som
350 00:20:22,480 --> 00:20:25,060
då hade det här inte funkat va?
351 00:20:26,140 --> 00:20:28,580
Nej det är så jag har förstått det
352 00:20:28,580 --> 00:20:28,900
men
353 00:20:28,900 --> 00:20:32,540
Men många kör inte secure boot
354 00:20:32,540 --> 00:20:33,680
så att det i praktiken funkar
355 00:20:33,680 --> 00:20:34,920
jättebra på
356 00:20:34,920 --> 00:20:37,220
massa retorer
357 00:20:37,220 --> 00:20:39,560
Har de gjort en analys på
358 00:20:39,560 --> 00:20:41,820
vad det användes till?
359 00:20:42,480 --> 00:20:43,600
Ja det är ju en
360 00:20:43,600 --> 00:20:45,840
en dropper
361 00:20:45,840 --> 00:20:47,460
en malware dropper egentligen
362 00:20:47,460 --> 00:20:49,560
så den kan ju användas som ett swiss army
363 00:20:49,560 --> 00:20:50,860
tool för att stoppa in
364 00:20:50,860 --> 00:20:53,240
alla möjliga ytterligare moduler
365 00:20:53,240 --> 00:20:55,120
och just i och med att det ligger i
366 00:20:55,120 --> 00:20:57,400
BIOS så funkar det ju inte att blåsa datorn
367 00:20:57,400 --> 00:20:59,360
och sen så tuta och köra
368 00:20:59,360 --> 00:21:01,020
för den kan liksom dra igång
369 00:21:01,020 --> 00:21:02,940
och ladda ner elak kod
370 00:21:02,940 --> 00:21:05,360
när den är ren igen då
371 00:21:05,360 --> 00:21:08,200
Hur drar man ner en elak kod?
372 00:21:08,420 --> 00:21:09,740
Jag har
373 00:21:09,740 --> 00:21:11,120
kivläst annat under tiden
374 00:21:11,120 --> 00:21:12,940
men vad är liksom
375 00:21:12,940 --> 00:21:14,440
hur får den hem koden?
376 00:21:14,580 --> 00:21:16,840
Gör den det via Windows eller gör den det
377 00:21:16,840 --> 00:21:18,220
på egen hand?
378 00:21:18,220 --> 00:21:21,360
Det finns ju den här Superfish-grejen
379 00:21:21,360 --> 00:21:22,680
eller vad det var som installerades
380 00:21:22,680 --> 00:21:24,900
via den här
381 00:21:24,900 --> 00:21:27,020
Windows-patchar
382 00:21:27,020 --> 00:21:29,020
från modekortet tillverkar funktionen
383 00:21:29,020 --> 00:21:29,540
men är det
384 00:21:29,540 --> 00:21:31,580
en ny vektor?
385 00:21:32,760 --> 00:21:34,400
Tydligen är det finns ett antal
386 00:21:34,400 --> 00:21:36,260
interface då eller gränssnitt
387 00:21:36,260 --> 00:21:38,220
men de här modulerna
388 00:21:38,220 --> 00:21:40,860
invokerar då en rad
389 00:21:40,860 --> 00:21:42,580
event som
390 00:21:42,580 --> 00:21:45,140
resulterar i att man skriver
391 00:21:45,140 --> 00:21:47,240
en elak
392 00:21:47,240 --> 00:21:49,640
executable som heter
393 00:21:49,640 --> 00:21:51,740
intelupdate.exe
394 00:21:51,740 --> 00:21:53,880
i startupfoldern som sen då
395 00:21:53,880 --> 00:21:54,760
drar ner en massa
396 00:21:54,760 --> 00:21:56,880
annat dumt då
397 00:21:56,880 --> 00:21:59,580
så att det är liksom
398 00:21:59,580 --> 00:22:02,040
ett fotfäste
399 00:22:02,040 --> 00:22:04,020
en landningsplatta som är gjord
400 00:22:04,020 --> 00:22:05,280
för att kunna liksom
401 00:22:05,280 --> 00:22:07,940
dra ner valfri
402 00:22:07,940 --> 00:22:09,660
kod på den datorn som
403 00:22:09,660 --> 00:22:10,860
har den där installerad då
404 00:22:10,860 --> 00:22:14,020
Men har man inte gjort någon analys på just de här fallen
405 00:22:14,020 --> 00:22:16,100
vad droppen
406 00:22:16,100 --> 00:22:16,780
hade droppat?
407 00:22:17,240 --> 00:22:19,480
Nej, man hade försökt om jag förstår det rätt
408 00:22:19,480 --> 00:22:21,360
det fanns, det finns även en
409 00:22:21,360 --> 00:22:23,920
mosaic regressor technical details
410 00:22:23,920 --> 00:22:25,940
som är en lång pdf
411 00:22:25,940 --> 00:22:27,460
som man kan läsa som är
412 00:22:27,460 --> 00:22:29,740
välskriven så långt som jag hann
413 00:22:29,740 --> 00:22:31,420
men mer än så hann jag inte
414 00:22:31,420 --> 00:22:34,120
att fuska in mig på ämnet
415 00:22:34,120 --> 00:22:35,660
innan podcasten
416 00:22:35,660 --> 00:22:37,860
men jag tänkte, det var så pass
417 00:22:37,860 --> 00:22:39,940
intressant så jag tänker nog sätta mig och läsa den här
418 00:22:39,940 --> 00:22:41,640
efter vi har spelat in
419 00:22:41,640 --> 00:22:44,040
Den släpptes igår
420 00:22:44,040 --> 00:22:45,000
av
421 00:22:45,000 --> 00:22:46,880
Kasperskyn
422 00:22:47,240 --> 00:22:50,300
Nice
423 00:22:50,300 --> 00:22:52,240
Jag tänkte vi
424 00:22:52,240 --> 00:22:54,200
snabbt återvänder
425 00:22:54,200 --> 00:22:55,620
innan vi får mer
426 00:22:55,620 --> 00:22:58,140
dålig feedback från
427 00:22:58,140 --> 00:23:00,140
vår kära lyssnare som
428 00:23:00,140 --> 00:23:02,060
tyckte att man skulle ha en
429 00:23:02,060 --> 00:23:03,680
Havai Binpone-integration
430 00:23:03,680 --> 00:23:05,320
och vi var skeptiska
431 00:23:05,320 --> 00:23:07,580
så kan vi ju faktiskt prata lite grann om
432 00:23:07,580 --> 00:23:09,980
hur Havai Binpone-integrationen funkar
433 00:23:09,980 --> 00:23:12,180
för jag har såna lite
434 00:23:12,180 --> 00:23:13,620
Google-skill så jag har kunnat
435 00:23:13,620 --> 00:23:15,140
googla upp hur den funkar
436 00:23:15,140 --> 00:23:17,080
Mäktigt
437 00:23:17,080 --> 00:23:18,480
Och
438 00:23:18,480 --> 00:23:21,780
och grejen är, du kan ha den sunkiga
439 00:23:21,780 --> 00:23:23,160
eller den coola integrationen
440 00:23:23,160 --> 00:23:25,300
Den sunkiga integrationen är att du
441 00:23:25,300 --> 00:23:27,760
laddar hem hela
442 00:23:27,760 --> 00:23:29,560
listan med alla de här
443 00:23:29,560 --> 00:23:31,820
ponade lösenorden och jag har skitsnabbt
444 00:23:31,820 --> 00:23:33,580
internet men serven som ger mig
445 00:23:33,580 --> 00:23:35,520
listan den är inte snabb så att
446 00:23:35,520 --> 00:23:37,300
det verkar vara det långsamma sättet
447 00:23:37,300 --> 00:23:40,060
Det coola sättet är då
448 00:23:40,060 --> 00:23:40,620
att
449 00:23:40,620 --> 00:23:43,900
din lösenordshanterare, den vet ju
450 00:23:43,900 --> 00:23:44,780
vad ditt lösenord är
451 00:23:44,780 --> 00:23:47,040
så den haschar ditt lösenord
452 00:23:47,080 --> 00:23:48,600
med SHA-1-algoritmen
453 00:23:48,600 --> 00:23:50,660
och sen klipper den ut
454 00:23:50,660 --> 00:23:52,900
de fem första tecknerna
455 00:23:52,900 --> 00:23:54,120
i haschen
456 00:23:54,120 --> 00:23:56,340
och så säger den, hej
457 00:23:56,340 --> 00:23:57,840
jag vill veta om
458 00:23:57,840 --> 00:24:00,860
alla SHA-1-hashar
459 00:24:00,860 --> 00:24:02,820
som börjar med
460 00:24:02,820 --> 00:24:04,600
de här tecknerna, så får man ut en lista
461 00:24:04,600 --> 00:24:07,020
med ett antal hundra
462 00:24:07,020 --> 00:24:08,600
hashar
463 00:24:08,600 --> 00:24:10,660
normalt sett då, det beror naturligtvis på
464 00:24:10,660 --> 00:24:12,780
vilken hash
465 00:24:12,780 --> 00:24:14,000
man frågar efter eller så
466 00:24:14,000 --> 00:24:16,840
så man ger ifrån sig en väldigt liten
467 00:24:17,080 --> 00:24:19,260
indikator av vad ens lösenord faktiskt är
468 00:24:19,260 --> 00:24:21,060
och så får man tillbaks
469 00:24:21,060 --> 00:24:22,920
exemplen på alla
470 00:24:22,920 --> 00:24:24,220
SHA-1-hashar som
471 00:24:24,220 --> 00:24:26,900
som är välkända
472 00:24:26,900 --> 00:24:29,340
och du får också en räknare
473 00:24:29,340 --> 00:24:31,380
som säger hur välkänd den är
474 00:24:31,380 --> 00:24:33,960
så de som är
475 00:24:33,960 --> 00:24:35,520
typ använda överallt
476 00:24:35,520 --> 00:24:36,320
såhär som typ
477 00:24:36,320 --> 00:24:38,760
password 123 eller någonting sådär
478 00:24:38,760 --> 00:24:40,960
de får en jättehög räknare
479 00:24:40,960 --> 00:24:41,720
så kan man själv
480 00:24:41,720 --> 00:24:43,740
men det är snyggt
481 00:24:43,740 --> 00:24:44,540
det är snyggt
482 00:24:44,540 --> 00:24:46,420
det gör mer prov då
483 00:24:47,080 --> 00:24:50,040
men jag känner ändå en tveksamhet inför
484 00:24:50,040 --> 00:24:51,460
att min lösenordshanterare
485 00:24:51,460 --> 00:24:54,620
hashar mitt lösenord med SHA-1
486 00:24:54,620 --> 00:24:58,080
någonstans finns den där haschen
487 00:24:58,080 --> 00:25:00,300
jo men tricket här är ju
488 00:25:00,300 --> 00:25:02,260
att den måste ju göra någonting
489 00:25:02,260 --> 00:25:04,220
som är reproducerbart både på servern
490 00:25:04,220 --> 00:25:06,440
och på din sida för att erbjuda funktionen
491 00:25:06,440 --> 00:25:08,540
och om du ändå har tänkt
492 00:25:08,540 --> 00:25:09,680
att den här ska vara
493 00:25:09,680 --> 00:25:12,140
out of band
494 00:25:12,140 --> 00:25:14,320
så grejen är ju att
495 00:25:14,320 --> 00:25:15,760
det ger ju en
496 00:25:15,760 --> 00:25:15,800
en
497 00:25:17,080 --> 00:25:17,840
alltså det är ju klart
498 00:25:17,840 --> 00:25:19,820
att har du världens sämsta lösenord
499 00:25:19,820 --> 00:25:20,540
så att
500 00:25:20,540 --> 00:25:23,940
då har du förmodligen ingen lösenordshanterare heller
501 00:25:23,940 --> 00:25:26,080
men de har ju
502 00:25:26,080 --> 00:25:28,100
men ja typ
503 00:25:28,100 --> 00:25:30,920
har du ett dåligt lösenord
504 00:25:30,920 --> 00:25:33,160
så är det ju inte så bra
505 00:25:33,160 --> 00:25:34,000
att dela med sig där
506 00:25:34,000 --> 00:25:34,880
om man antar att någon
507 00:25:34,880 --> 00:25:36,920
såhär men
508 00:25:36,920 --> 00:25:39,460
ja
509 00:25:39,460 --> 00:25:40,640
jag vet inte
510 00:25:40,640 --> 00:25:42,740
det hade ju inte blivit extremt mycket bättre
511 00:25:42,740 --> 00:25:44,520
av att ha någon tyngre hash
512 00:25:44,520 --> 00:25:46,180
du skulle ju ändå trunka där bort
513 00:25:46,180 --> 00:25:46,520
ett stort alldatum
514 00:25:47,080 --> 00:25:48,220
att prata
515 00:25:48,220 --> 00:25:49,060
mm
516 00:25:49,060 --> 00:25:52,120
jag gillar det
517 00:25:52,120 --> 00:25:53,780
valideringen sker ju hos dig då också
518 00:25:53,780 --> 00:25:56,320
alltså du får ju själv bestämma
519 00:25:56,320 --> 00:25:56,540
ja precis
520 00:25:56,540 --> 00:25:58,560
det är klienten som kommer fram
521 00:25:58,560 --> 00:26:00,060
om det finns en matchande char
522 00:26:00,060 --> 00:26:01,920
i ett hash mot lösenordet
523 00:26:01,920 --> 00:26:03,900
så det är inte servern som vet
524 00:26:03,900 --> 00:26:06,520
vilket lösenord man hade
525 00:26:06,520 --> 00:26:09,780
nej men det tycker jag är en feature då
526 00:26:09,780 --> 00:26:10,700
det är ganska fair ändå
527 00:26:10,700 --> 00:26:13,760
han har nog tänkt lite grann innan han publicerar
528 00:26:13,760 --> 00:26:15,660
ja det känns ganska genomtänkt ändå
529 00:26:15,660 --> 00:26:17,000
annars hade det ju varit kul
530 00:26:17,000 --> 00:26:17,060
att få en sån här
531 00:26:17,080 --> 00:26:18,660
man bara byggde en funktion där alla
532 00:26:18,660 --> 00:26:20,700
skjutte upp sina lösenordarna.
533 00:26:20,820 --> 00:26:23,020
Hur snabbt skulle den bli asbäst på hela internet?
534 00:26:23,640 --> 00:26:25,480
Alltså, det skulle inte förvåna mig
535 00:26:25,480 --> 00:26:26,660
om det hade förekommit någonstans
536 00:26:26,660 --> 00:26:28,760
med väldigt hög successrate också.
537 00:26:29,420 --> 00:26:30,960
Det finns ju en sån tjänst för
538 00:26:30,960 --> 00:26:33,000
en färdigt Excel-akt tror jag som innehåller
539 00:26:33,000 --> 00:26:34,740
alla möjliga fyra teckens pin.
540 00:26:35,820 --> 00:26:37,500
Ja, mäktigt. Du har hackat allihopa.
541 00:26:39,420 --> 00:26:40,600
Det är så gött det där.
542 00:26:40,920 --> 00:26:43,180
Det var ett skämt för dig som inte förstod det.
543 00:26:43,180 --> 00:26:43,920
Det var ett skämt däremot.
544 00:26:45,200 --> 00:26:45,580
Vad sa du?
545 00:26:45,580 --> 00:26:49,040
Att ha pinnen i prioriterad ordning
546 00:26:49,040 --> 00:26:50,760
är däremot jävligt mycket mer användbart.
547 00:26:51,380 --> 00:26:51,760
Just det.
548 00:26:51,980 --> 00:26:55,080
Jag fick testa det i verkligheten.
549 00:26:56,840 --> 00:26:59,360
Om man följde
550 00:26:59,360 --> 00:27:01,520
ett system
551 00:27:01,520 --> 00:27:02,820
som tog emot pinnkoder
552 00:27:02,820 --> 00:27:03,680
och så bara så här
553 00:27:03,680 --> 00:27:08,060
om jag nu
554 00:27:08,060 --> 00:27:10,340
skickar in, för det finns ju någon
555 00:27:10,340 --> 00:27:10,700
de heter
556 00:27:10,700 --> 00:27:13,840
Data Genetics eller någonting.
557 00:27:13,940 --> 00:27:15,100
De har en listan på
558 00:27:15,100 --> 00:27:17,320
vilka pinnkoder man ska testa
559 00:27:17,320 --> 00:27:18,020
i vilken ordning.
560 00:27:19,200 --> 00:27:20,620
Och den listan är bra.
561 00:27:21,360 --> 00:27:23,800
För du kommer in på konton
562 00:27:23,800 --> 00:27:25,280
sjukt mycket snabbare
563 00:27:25,280 --> 00:27:27,900
än BruteForce.
564 00:27:29,160 --> 00:27:29,300
Ja.
565 00:27:30,400 --> 00:27:31,320
Men det är mäktig
566 00:27:31,320 --> 00:27:33,360
förutsägbarhet hos
567 00:27:33,360 --> 00:27:34,260
mänskligheten.
568 00:27:34,520 --> 00:27:35,880
Det där är coolt alltså.
569 00:27:37,140 --> 00:27:39,380
På fyrsiffriga pinnkoder
570 00:27:39,380 --> 00:27:40,680
så hävdar de ju på att
571 00:27:40,680 --> 00:27:42,860
typ på fem försök
572 00:27:42,860 --> 00:27:44,620
tror jag att du kommer in på
573 00:27:45,100 --> 00:27:47,100
vad det var, 20% eller så.
574 00:27:47,540 --> 00:27:48,480
Ja, det var ganska mycket.
575 00:27:49,420 --> 00:27:51,140
Det var länge sedan jag läste det här.
576 00:27:51,160 --> 00:27:52,960
På tio vanligaste pinnkoderna
577 00:27:52,960 --> 00:27:55,060
kommer du in på 30% av alla konton.
578 00:27:56,120 --> 00:27:56,540
Så det är liksom
579 00:27:56,540 --> 00:27:58,780
fyrsiffriga pinnkoder.
580 00:27:58,780 --> 00:28:00,520
Det är helt magiskt
581 00:28:00,520 --> 00:28:02,980
hur kasta vi människor är
582 00:28:02,980 --> 00:28:04,380
på att välja pinnkoder.
583 00:28:05,000 --> 00:28:06,860
Om man tycker att vi är dåliga på lösnord
584 00:28:06,860 --> 00:28:08,160
så är det ingenting mot pinnkoder.
585 00:28:09,080 --> 00:28:11,000
Så om man är riktigt listig nu så går man till den listan
586 00:28:11,000 --> 00:28:12,380
och så väljer man den sista pinnen.
587 00:28:12,660 --> 00:28:14,160
Ja, för den är den säkra.
588 00:28:15,100 --> 00:28:15,580
Precis.
589 00:28:17,160 --> 00:28:18,620
Det är precis så det funkar.
590 00:28:19,360 --> 00:28:20,960
Nu har ni hört det här.
591 00:28:21,360 --> 00:28:22,460
Vi lärde er hur man gör.
592 00:28:24,300 --> 00:28:25,620
Vad jag tänkte är att jag skulle
593 00:28:25,620 --> 00:28:28,000
dra igång en ny liten grej
594 00:28:28,000 --> 00:28:29,840
och tipsa om tools
595 00:28:29,840 --> 00:28:32,420
på de här ostrukturerade avsnitten.
596 00:28:34,380 --> 00:28:36,120
Jag har egentligen tre tools
597 00:28:36,120 --> 00:28:38,200
men jag tänker att jag ska prata om två i alla fall.
598 00:28:39,600 --> 00:28:40,120
Det första är
599 00:28:40,120 --> 00:28:41,680
någonting som är
600 00:28:41,680 --> 00:28:43,660
egentligen lite pythonskript som
601 00:28:43,660 --> 00:28:45,080
finns i ganska mycket.
602 00:28:45,100 --> 00:28:47,300
Många iterationer men en som är ganska nice
603 00:28:47,300 --> 00:28:50,860
som heter
604 00:28:50,860 --> 00:28:53,800
AVS Key Triage
605 00:28:53,800 --> 00:28:55,280
AKT
606 00:28:55,280 --> 00:28:57,060
är väl förkortningen av det.
607 00:28:58,720 --> 00:28:59,980
Och det är jäkligt nice
608 00:28:59,980 --> 00:29:01,660
för ni som sitter och hackar
609 00:29:01,660 --> 00:29:03,420
där ute på cloudinstanser
610 00:29:03,420 --> 00:29:04,840
ni kommer ju över
611 00:29:04,840 --> 00:29:07,320
instansnycklar ganska ofta.
612 00:29:07,420 --> 00:29:09,060
Man kommer över en
613 00:29:09,060 --> 00:29:11,220
secret key och man kommer över
614 00:29:11,220 --> 00:29:12,000
ett access ID.
615 00:29:12,700 --> 00:29:14,600
Men sen är ju nästa grej då.
616 00:29:15,100 --> 00:29:16,920
Vad kommer jag in någonstans med den här nyckeln?
617 00:29:17,500 --> 00:29:18,920
Hur ser behörighetsmodellen ut?
618 00:29:19,640 --> 00:29:21,480
Vilka system kan jag använda den här
619 00:29:21,480 --> 00:29:23,660
för att göra då triage?
620 00:29:24,960 --> 00:29:25,940
Det är en ganska manuell
621 00:29:25,940 --> 00:29:27,480
och monotom uppgift som man får
622 00:29:27,480 --> 00:29:29,720
koda ihop för att göra alla de här API-kåsen
623 00:29:29,720 --> 00:29:31,520
för att se vad det är
624 00:29:31,520 --> 00:29:32,660
den här nyckeln har access till.
625 00:29:33,560 --> 00:29:35,420
Det löser AKT
626 00:29:35,420 --> 00:29:37,320
för dig så du matar den med
627 00:29:37,320 --> 00:29:39,580
de nycklarna eller nyckeln som du har hittat
628 00:29:39,580 --> 00:29:41,600
och sedan så försöker
629 00:29:41,600 --> 00:29:43,340
den då kolla om nyckeln är aktiv
630 00:29:43,340 --> 00:29:45,240
kolla om man kan nå
631 00:29:45,240 --> 00:29:47,320
någon form av hemligheter i
632 00:29:47,320 --> 00:29:49,000
Secret och i Secret Manager eller i
633 00:29:49,000 --> 00:29:50,340
Parameter Store i AVS.
634 00:29:51,200 --> 00:29:53,500
Kollar om det finns en identitet
635 00:29:53,500 --> 00:29:55,440
kopplad till nyckeln. Försöker
636 00:29:55,440 --> 00:29:57,280
lista alla IAM-användare
637 00:29:57,280 --> 00:29:59,420
anslutna till det AVS-kontextet
638 00:29:59,420 --> 00:30:00,700
som nyckeln är genererad ifrån.
639 00:30:02,140 --> 00:30:03,360
Försöker lista alla
640 00:30:03,360 --> 00:30:05,360
tjänster och om de har
641 00:30:05,360 --> 00:30:07,200
specifika credentials
642 00:30:07,200 --> 00:30:08,240
kopplat till sig själva.
643 00:30:09,240 --> 00:30:10,660
Tittar också på AVS
644 00:30:10,660 --> 00:30:12,460
IAM Account Policy.
645 00:30:13,340 --> 00:30:15,060
Om det finns federationskoppel och
646 00:30:15,060 --> 00:30:17,280
hur lösenordsmappen ser ut.
647 00:30:18,040 --> 00:30:19,140
Försöker lista alla grupper.
648 00:30:19,260 --> 00:30:21,140
Försöker lista alla EC2-instanser, alla
649 00:30:21,140 --> 00:30:23,360
buckets och vilka permissions varje
650 00:30:23,360 --> 00:30:25,460
bucket har och vilka roller
651 00:30:25,460 --> 00:30:27,300
som är kopplade till IAM. Om det finns
652 00:30:27,300 --> 00:30:29,560
några Lambda-funktioner. Väldigt
653 00:30:29,560 --> 00:30:31,520
användbart för att
654 00:30:31,520 --> 00:30:33,500
du behöver bara mata den med
655 00:30:33,500 --> 00:30:34,940
just nyckeldata.
656 00:30:36,800 --> 00:30:37,960
Så där får ni
657 00:30:37,960 --> 00:30:39,720
googla om ni är sugna på
658 00:30:39,720 --> 00:30:41,360
ett väldigt
659 00:30:41,360 --> 00:30:43,320
användarvänligt skript.
660 00:30:43,340 --> 00:30:45,340
För att kolla nyckeltillhörigheter
661 00:30:46,260 --> 00:30:47,140
i just AVS.
662 00:30:47,220 --> 00:30:48,920
Det heter AVS Key Triage.
663 00:30:49,180 --> 00:30:50,820
AKT-skript. Finns på GitHub.
664 00:30:52,000 --> 00:30:53,080
Så det tycker jag ni ska kolla om ni
665 00:30:53,080 --> 00:30:54,300
håller på med sånt.
666 00:30:55,940 --> 00:30:57,260
Sen har jag ett
667 00:30:57,260 --> 00:30:58,880
till, eller vi kan ta två.
668 00:30:58,900 --> 00:31:01,300
Jag trodde du skulle prata om Offensive Terraform.
669 00:31:01,860 --> 00:31:03,420
Ja, precis. Det är faktiskt
670 00:31:03,420 --> 00:31:05,020
en kul grej. Säg att man sitter och
671 00:31:05,020 --> 00:31:07,320
Terraform för de som inte har koll på det är
672 00:31:07,320 --> 00:31:08,780
ju en
673 00:31:08,780 --> 00:31:11,360
deployment
674 00:31:11,360 --> 00:31:13,140
pipeline.
675 00:31:13,340 --> 00:31:15,100
Egentligen där man kan skicka ut
676 00:31:15,100 --> 00:31:17,160
infrastruktur som kod. Alltså orkestrera
677 00:31:17,160 --> 00:31:19,460
och instrumentera tjänster
678 00:31:19,460 --> 00:31:21,080
och servrar och whatever
679 00:31:21,080 --> 00:31:23,100
you can drömma upp.
680 00:31:23,880 --> 00:31:25,200
Gjort av ett företag som heter
681 00:31:25,200 --> 00:31:26,820
HashiCorp som också har gjort
682 00:31:26,820 --> 00:31:29,440
Vault till exempel som är en jättebra
683 00:31:29,440 --> 00:31:31,440
encryption at rest-funktion
684 00:31:31,440 --> 00:31:33,560
för just miljövariablar
685 00:31:33,560 --> 00:31:35,380
som vi pratade om i ett tidigare avsnitt här.
686 00:31:36,940 --> 00:31:37,320
Men just
687 00:31:37,320 --> 00:31:38,980
Terraform används ganska vitt och
688 00:31:38,980 --> 00:31:41,240
brett nu av den hippa
689 00:31:41,240 --> 00:31:42,060
DevOps-eliten.
690 00:31:42,060 --> 00:31:43,320
Men lyckas man då?
691 00:31:43,340 --> 00:31:44,560
För att komma över en
692 00:31:44,560 --> 00:31:47,460
får man access till en Terraform-pipeline
693 00:31:47,460 --> 00:31:48,640
så
694 00:31:48,640 --> 00:31:50,640
är det en person
695 00:31:50,640 --> 00:31:53,520
som har skapat någonting riktigt roligt
696 00:31:53,520 --> 00:31:55,260
som är då
697 00:31:55,260 --> 00:31:57,220
offensiva Terraform-moduler
698 00:31:57,220 --> 00:31:58,580
som man kan använda för
699 00:31:58,580 --> 00:32:01,300
att attackera AWS-infrastruktur
700 00:32:01,300 --> 00:32:03,160
i det här fallet. Nu kommer jag
701 00:32:03,160 --> 00:32:05,720
uttala personens namn jätteknasigt
702 00:32:05,720 --> 00:32:07,260
men anställd
703 00:32:07,260 --> 00:32:09,120
på Rhino Security Labs som gör
704 00:32:09,120 --> 00:32:11,100
väldigt bra research egentligen för
705 00:32:11,100 --> 00:32:13,000
just AWS-resurser.
706 00:32:13,340 --> 00:32:14,920
De ligger även bakom Pacu
707 00:32:14,920 --> 00:32:17,320
om jag inte missminner mig helt.
708 00:32:18,480 --> 00:32:19,460
Och Pacu är
709 00:32:19,460 --> 00:32:21,280
ett exploateringsramverk för just
710 00:32:21,280 --> 00:32:22,180
cloud då.
711 00:32:23,000 --> 00:32:25,220
Men Rhino Security och det är en kille som heter
712 00:32:25,220 --> 00:32:27,160
Itgel Gunbold
713 00:32:27,160 --> 00:32:29,500
som har
714 00:32:29,500 --> 00:32:30,680
släppt de här då på sin
715 00:32:30,680 --> 00:32:32,720
GitHub-sida och de heter egentligen
716 00:32:32,720 --> 00:32:35,700
det är offensiveterraform.github.io
717 00:32:35,700 --> 00:32:37,680
och det är
718 00:32:37,680 --> 00:32:38,840
moduler för
719 00:32:38,840 --> 00:32:42,060
lite olika typer av exploatering
720 00:32:42,060 --> 00:32:42,440
av
721 00:32:43,340 --> 00:32:45,440
AWS-infrastruktur
722 00:32:45,440 --> 00:32:47,460
och så här. Alltifrån
723 00:32:47,460 --> 00:32:49,480
cross-account persistence
724 00:32:49,480 --> 00:32:51,520
det vill säga att man länkar ihop
725 00:32:51,520 --> 00:32:53,300
två stycken organisationer
726 00:32:53,300 --> 00:32:54,720
som gör att du kan komma åt saker.
727 00:32:55,940 --> 00:32:57,280
Alltså du ger
728 00:32:57,280 --> 00:32:59,560
tillgång till
729 00:32:59,560 --> 00:33:01,100
en organisation
730 00:33:01,100 --> 00:33:03,440
hur fan säger man det här
731 00:33:03,440 --> 00:33:04,580
på svenska? Det blir konstigt.
732 00:33:05,080 --> 00:33:06,660
Du delegerar access till
733 00:33:06,660 --> 00:33:09,220
från den hackade infrastrukturen till
734 00:33:09,220 --> 00:33:10,140
din egna infrastruktur.
735 00:33:11,620 --> 00:33:13,320
Det finns EC2-infrastrukturerna
736 00:33:13,340 --> 00:33:14,840
EC2-instans reverse shell
737 00:33:14,840 --> 00:33:16,960
alltså EC2-instanser där du skapar
738 00:33:16,960 --> 00:33:19,320
reverse shell. Säg att du får lov att du hittar
739 00:33:19,320 --> 00:33:20,760
en mutable
740 00:33:20,760 --> 00:33:23,320
lambda-funktion till exempel som du kan
741 00:33:23,320 --> 00:33:25,080
editera. Då har de
742 00:33:25,080 --> 00:33:27,580
byggt en terraform-modul som
743 00:33:27,580 --> 00:33:29,340
gör att du kan göra
744 00:33:29,340 --> 00:33:31,520
credential exfiltration
745 00:33:31,520 --> 00:33:33,560
som en lambda-funktion. Ganska smidigt.
746 00:33:34,180 --> 00:33:35,400
Och sen lite vanliga use-case
747 00:33:35,400 --> 00:33:37,360
som typ publika
748 00:33:37,360 --> 00:33:39,260
EBS och RDS-snapshots
749 00:33:39,260 --> 00:33:41,300
eller S3-bucket, subdomain
750 00:33:41,300 --> 00:33:42,260
takeovers och så vidare.
751 00:33:43,340 --> 00:33:44,980
Den fångade mitt intresse.
752 00:33:46,120 --> 00:33:48,100
Den verkade lite intressant just därför att
753 00:33:48,100 --> 00:33:50,560
det är ju ett ganska vanligt
754 00:33:50,560 --> 00:33:52,480
use-case när man
755 00:33:52,480 --> 00:33:52,820
gör
756 00:33:52,820 --> 00:33:55,160
ett
757 00:33:55,160 --> 00:33:58,260
pentest-gig. Att man ser
758 00:33:58,260 --> 00:34:00,420
att det finns en
759 00:34:00,420 --> 00:34:01,960
subdomän som pekar på
760 00:34:01,960 --> 00:34:04,420
en icke-existerande
761 00:34:04,420 --> 00:34:05,620
S3-bucket.
762 00:34:06,520 --> 00:34:08,100
Precis, men i de här subdomain takeovers
763 00:34:08,100 --> 00:34:10,200
handlar det nog om att man har någon form
764 00:34:10,200 --> 00:34:12,320
av rudimentär access redan från första början
765 00:34:12,320 --> 00:34:13,340
som man sedan
766 00:34:13,340 --> 00:34:15,320
kan använda då för att
767 00:34:15,320 --> 00:34:17,680
peka om den rent funktionsmässigt.
768 00:34:19,340 --> 00:34:20,820
Och det jag misstänker,
769 00:34:21,040 --> 00:34:22,540
jag har inte kollat det här i detalj,
770 00:34:22,600 --> 00:34:24,140
men jag misstänker att det här måste vara kopplat till
771 00:34:24,140 --> 00:34:25,420
root 53 på något sätt.
772 00:34:25,920 --> 00:34:28,380
Annars så blir det nog knasigt.
773 00:34:29,100 --> 00:34:30,380
Så det handlar om en ommappning
774 00:34:30,380 --> 00:34:31,420
av konfigurationsdatat.
775 00:34:31,580 --> 00:34:33,000
Men ja, det är coolt som fan.
776 00:34:33,520 --> 00:34:36,200
Jag gillar när, det känns ganska genomtänkt
777 00:34:36,200 --> 00:34:38,000
när man klickar igenom det. Det är kul och det är en
778 00:34:38,000 --> 00:34:39,760
snygg grafik.
779 00:34:40,180 --> 00:34:41,140
Snygga logotyper.
780 00:34:41,420 --> 00:34:43,160
Ja, men det känns väldigt,
781 00:34:43,160 --> 00:34:45,160
typ, alltså offensive-terraform
782 00:34:45,740 --> 00:34:46,900
punkt
783 00:34:46,900 --> 00:34:48,920
har jag fel?
784 00:34:49,200 --> 00:34:50,300
Github.io.
785 00:34:50,740 --> 00:34:52,940
Ja, precis, där hittade ni det. Det är ganska kul.
786 00:34:53,740 --> 00:34:55,580
Sen så har jag en grej till.
787 00:34:57,060 --> 00:34:59,480
Och det är såklart
788 00:34:59,480 --> 00:35:00,780
en israel som har byggt.
789 00:35:01,760 --> 00:35:03,720
Och om panelen får gissa
790 00:35:03,720 --> 00:35:05,300
vart den här israelen har jobbat någonstans.
791 00:35:05,440 --> 00:35:07,000
Vad tror ni då? Mossad?
792 00:35:07,580 --> 00:35:08,940
Ja, det är vid divd kanske han har.
793 00:35:09,100 --> 00:35:11,360
Men vad händer när man har klarat sig
794 00:35:11,360 --> 00:35:12,840
från 8200 och
795 00:35:13,160 --> 00:35:14,960
jobbat i den israeliska undertjänsten?
796 00:35:15,040 --> 00:35:17,640
Vilket israeliskt bolag bör man jobba på då?
797 00:35:20,900 --> 00:35:21,940
Med din våga nu.
798 00:35:23,560 --> 00:35:24,680
Det finns ju någon
799 00:35:24,680 --> 00:35:26,600
brandväg från dem bland annat.
800 00:35:26,980 --> 00:35:28,380
Precis, vilken brandväg då?
801 00:35:28,800 --> 00:35:29,280
Checkpoint.
802 00:35:29,580 --> 00:35:32,020
Jajamän, så han är en gammal checkpoint-anställd.
803 00:35:32,580 --> 00:35:34,220
Har nu då dragit igång ett,
804 00:35:34,620 --> 00:35:36,680
eller jobbar på ett annat bolag som Techlead.
805 00:35:37,040 --> 00:35:38,280
Och har släppt
806 00:35:38,280 --> 00:35:40,380
någonting så otroligt
807 00:35:40,380 --> 00:35:41,760
fascinabelt som heter
808 00:35:41,760 --> 00:35:42,700
Kubei.
809 00:35:43,160 --> 00:35:44,500
Och Kubei är
810 00:35:44,500 --> 00:35:46,380
en sårbarhetsscanner för
811 00:35:46,380 --> 00:35:47,980
kubinetisk implementationer.
812 00:35:49,860 --> 00:35:50,820
Och det levereras
813 00:35:50,820 --> 00:35:52,100
av ett företag som heter Portshift.
814 00:35:53,400 --> 00:35:54,800
Och vad den här gör då är att
815 00:35:54,800 --> 00:35:56,960
det är ett repository som du antingen kan
816 00:35:56,960 --> 00:35:58,940
som du
817 00:35:58,940 --> 00:36:00,740
kör via din kub-control
818 00:36:00,740 --> 00:36:03,000
eller från din kub-config-fil
819 00:36:03,000 --> 00:36:03,280
liksom.
820 00:36:04,480 --> 00:36:06,720
Du spinner upp, du kan göra det
821 00:36:06,720 --> 00:36:07,480
som en
822 00:36:07,480 --> 00:36:10,760
service, eller så kan du köra
823 00:36:10,760 --> 00:36:12,700
den, nej du måste nog fastligen köra den
824 00:36:12,700 --> 00:36:14,200
som en service tror jag, i klustret.
825 00:36:14,740 --> 00:36:16,860
Och sedan så har du då
826 00:36:16,860 --> 00:36:18,480
möjlighet att sårbarhetsscanna
827 00:36:18,480 --> 00:36:21,020
din
828 00:36:21,020 --> 00:36:23,020
konfiguration och dina
829 00:36:23,020 --> 00:36:24,920
instanser direkt i ditt
830 00:36:24,920 --> 00:36:26,540
kluster då. Och har då
831 00:36:26,540 --> 00:36:28,700
både support för ECR och för
832 00:36:28,700 --> 00:36:30,920
GCR. Så du kan köra det både i Google
833 00:36:30,920 --> 00:36:31,360
och Amazon.
834 00:36:32,340 --> 00:36:35,000
Och det är ganska kul att man ser det här för att det är
835 00:36:35,000 --> 00:36:37,280
det finns inte så jättemycket
836 00:36:37,280 --> 00:36:38,940
bra
837 00:36:38,940 --> 00:36:41,320
sårbarhetsmotorer
838 00:36:41,320 --> 00:36:42,400
där ute. Jag har inte testat
839 00:36:42,700 --> 00:36:44,780
det här för att vara helt ärligt. Jag har bara tittat
840 00:36:44,780 --> 00:36:47,380
på definitionsdatabaserna
841 00:36:47,380 --> 00:36:48,780
så de CVE-erna som den
842 00:36:48,780 --> 00:36:50,780
triggar för. Det är sånt jag håller på med
843 00:36:50,780 --> 00:36:52,980
för jag är, jag skäms
844 00:36:52,980 --> 00:36:54,820
så mycket av dem, min toolchain, så jag delar
845 00:36:54,820 --> 00:36:56,640
inte med mig, men jag snor av alla andra istället.
846 00:36:57,180 --> 00:36:58,320
Jag hade en idé om att jag skulle
847 00:36:58,320 --> 00:37:00,740
få hjälp att koda ihop någonting som var snyggt
848 00:37:00,740 --> 00:37:02,020
som jag kan släppa publikt, men
849 00:37:02,020 --> 00:37:04,600
jag, än så länge så snor jag av alla andra
850 00:37:04,600 --> 00:37:06,680
och tar det för egen profit. Johan har
851 00:37:06,680 --> 00:37:08,020
fått en kopia av min scanner.
852 00:37:08,660 --> 00:37:10,760
Så ni kan muta Johan så kanske han skickar över den.
853 00:37:11,260 --> 00:37:12,660
Men hur som helst,
854 00:37:12,660 --> 00:37:14,120
det är ganska kul för det är
855 00:37:14,120 --> 00:37:16,400
snyggt, det ser välkodat ut
856 00:37:16,400 --> 00:37:18,660
och det är en
857 00:37:18,660 --> 00:37:20,640
ganska bra
858 00:37:20,640 --> 00:37:22,920
definitionslista som de säger att de ska uppdatera
859 00:37:22,920 --> 00:37:24,620
i stort sett allt eftersom
860 00:37:24,620 --> 00:37:26,720
nya grejer dyker upp. Så det är en kul
861 00:37:26,720 --> 00:37:28,380
produkt att kolla in. Qubi
862 00:37:28,380 --> 00:37:30,400
ifrån Portshift.
863 00:37:31,400 --> 00:37:31,840
Coolt.
864 00:37:32,940 --> 00:37:34,700
Och det tänkte jag att du skulle göra
865 00:37:34,700 --> 00:37:36,640
lite nu varje oslutning, att komma
866 00:37:36,640 --> 00:37:38,900
med lite coola tools som jag har testat
867 00:37:38,900 --> 00:37:39,740
eller vill testa.
868 00:37:41,100 --> 00:37:42,600
Tyckte det var jättekul att du nämnde
869 00:37:42,660 --> 00:37:44,820
HashiCorp och deras
870 00:37:44,820 --> 00:37:46,000
produkt Volt där.
871 00:37:47,320 --> 00:37:48,700
För att de har ju
872 00:37:48,700 --> 00:37:50,640
fått det på riktigt i tvåan
873 00:37:50,640 --> 00:37:51,200
som man brukar säga.
874 00:37:52,080 --> 00:37:54,720
Och det är en väldigt välanvänd produkt
875 00:37:54,720 --> 00:37:56,420
ska man ju säga. Det är väldigt många som använder
876 00:37:56,420 --> 00:37:57,460
just HashiCorp.
877 00:37:58,180 --> 00:38:00,160
Jag fick en sån här bild igen.
878 00:38:03,700 --> 00:38:04,920
Authentication Bypass
879 00:38:04,920 --> 00:38:06,180
hämta alla nycklar
880 00:38:06,180 --> 00:38:07,460
är möjligt.
881 00:38:09,240 --> 00:38:11,520
det är så att
882 00:38:11,520 --> 00:38:14,440
när du sätter upp Volt då så kan du
883 00:38:14,440 --> 00:38:15,920
kan klienterna
884 00:38:15,920 --> 00:38:18,760
det är en server som är som ett kassaskåp
885 00:38:18,760 --> 00:38:20,320
eller många kassaskåp kan vi väl säga.
886 00:38:20,840 --> 00:38:21,640
Många kassaskåp.
887 00:38:21,640 --> 00:38:24,120
Så kopplar du upp det med din klient
888 00:38:24,120 --> 00:38:25,580
och presenterar någon form av hemlighet
889 00:38:25,580 --> 00:38:27,480
för att visa vem du är och så får du tillgång till dina nycklar
890 00:38:27,480 --> 00:38:29,640
och inga andra nycklar än dina nycklar. Det är grundtanken.
891 00:38:30,900 --> 00:38:31,700
Finns flera olika
892 00:38:31,700 --> 00:38:33,000
sätt att åta sig mot den här.
893 00:38:33,920 --> 00:38:35,640
Och sårbarheten är upptäckt i
894 00:38:36,400 --> 00:38:38,100
AVS
895 00:38:38,100 --> 00:38:39,640
autentiseringsmetod
896 00:38:40,340 --> 00:38:41,160
som heter IOM.
897 00:38:41,820 --> 00:38:43,780
Både AVS
898 00:38:43,780 --> 00:38:45,340
och GCP har
899 00:38:45,340 --> 00:38:46,420
samma problem.
900 00:38:47,320 --> 00:38:48,400
Liknande problem har de.
901 00:38:48,820 --> 00:38:51,280
Tekniskt är de inte exakta
902 00:38:51,280 --> 00:38:53,480
men det är sant. Det går att gå runt i GCP också.
903 00:38:55,360 --> 00:38:57,760
Det som är coolt här
904 00:38:57,760 --> 00:38:58,640
är då att
905 00:38:58,640 --> 00:39:02,900
det är Project Zero är det.
906 00:39:03,080 --> 00:39:05,180
Så gå in och titta på bloggen för att den är väldigt kul.
907 00:39:05,540 --> 00:39:05,920
Det är alltid Google.
908 00:39:06,700 --> 00:39:09,300
Man kan liksom följa hur de har tänkt.
909 00:39:10,360 --> 00:39:11,300
Hur de har analyserat.
910 00:39:11,520 --> 00:39:13,260
Och kommit framåt steg för steg.
911 00:39:13,360 --> 00:39:14,860
Så det var ett grymt kul blogg på oss tyckte jag.
912 00:39:15,440 --> 00:39:16,920
Det här bygger i alla fall på någonting som heter
913 00:39:16,920 --> 00:39:18,660
Get Caller Identity.
914 00:39:19,340 --> 00:39:21,500
Det bygger på STS-blocket som är
915 00:39:21,500 --> 00:39:23,360
en
916 00:39:23,360 --> 00:39:25,520
user-specifik key-funktion
917 00:39:25,520 --> 00:39:25,980
egentligen.
918 00:39:27,060 --> 00:39:29,360
Men absolut. STS.
919 00:39:30,260 --> 00:39:30,600
Precis.
920 00:39:31,040 --> 00:39:32,580
Ett API på STS.
921 00:39:32,720 --> 00:39:34,920
Deras Amazons ticket-server.
922 00:39:36,460 --> 00:39:37,460
Där man normalt fattar
923 00:39:37,460 --> 00:39:38,900
att man skickar in
924 00:39:38,900 --> 00:39:41,260
eller jag gör ett anrop med mina credentials.
925 00:39:41,520 --> 00:39:42,520
Får jag reda på vem jag är typ.
926 00:39:43,520 --> 00:39:45,420
Ja, precis. Där genererar du
927 00:39:45,420 --> 00:39:47,420
även tokens och det är det som är intressant här.
928 00:39:47,820 --> 00:39:49,240
Så STS står egentligen
929 00:39:49,240 --> 00:39:50,580
för Security Token Service.
930 00:39:51,080 --> 00:39:52,620
Så det är någonting som är kopplat till
931 00:39:52,620 --> 00:39:54,760
din ursprungsidentitet.
932 00:39:55,180 --> 00:39:56,600
Så har du en säkerhetsnyckel,
933 00:39:57,280 --> 00:39:59,260
en secret key och en
934 00:39:59,260 --> 00:40:01,800
access-nyckel. Så STS-konceptet
935 00:40:01,800 --> 00:40:03,080
i ditt AVS-CLI
936 00:40:03,080 --> 00:40:05,060
är allting som har med din nyckel att göra.
937 00:40:05,240 --> 00:40:06,980
Så där kan du till exempel
938 00:40:06,980 --> 00:40:09,240
skapa en sessions-token. Du kan skapa
939 00:40:09,240 --> 00:40:11,140
en EQS-token.
940 00:40:11,520 --> 00:40:13,400
Du kan just använda STS
941 00:40:13,400 --> 00:40:15,240
Get Caller ID. Då får du all information
942 00:40:15,240 --> 00:40:16,220
om din användare.
943 00:40:18,320 --> 00:40:19,060
Walt har
944 00:40:19,060 --> 00:40:22,460
deras AVS-IOM-metod
945 00:40:22,460 --> 00:40:23,120
för autentisering.
946 00:40:23,220 --> 00:40:24,700
Den rider lite på den här funktionen.
947 00:40:24,820 --> 00:40:26,360
De piggybackar egentligen på
948 00:40:26,360 --> 00:40:29,080
AVS Get Caller Identity-funktionen.
949 00:40:29,700 --> 00:40:31,200
Det går egentligen till
950 00:40:31,200 --> 00:40:32,460
att klienten
951 00:40:32,460 --> 00:40:35,500
bygger ett färdigt
952 00:40:35,500 --> 00:40:37,260
anrop till STS
953 00:40:37,260 --> 00:40:39,280
Get Caller Identity. Så skickar man
954 00:40:39,280 --> 00:40:40,880
med det till Walt.
955 00:40:41,520 --> 00:40:42,280
Som ett
956 00:40:42,280 --> 00:40:44,480
wrapped token nästan kan man säga.
957 00:40:45,680 --> 00:40:46,960
Och sen skickar då
958 00:40:46,960 --> 00:40:49,180
Walt-servern vidare det här till
959 00:40:49,180 --> 00:40:50,880
STS Get Caller Identity
960 00:40:50,880 --> 00:40:53,200
API-t
961 00:40:53,200 --> 00:40:54,600
och får svaret själv.
962 00:40:55,760 --> 00:40:57,360
Och då ser man då VM-med den här
963 00:40:57,360 --> 00:40:59,540
personen som har gjort anropet i Amazon-världen
964 00:40:59,540 --> 00:41:01,640
och så mappar man det mot en Walt-användare
965 00:41:01,640 --> 00:41:03,200
och så kan man ta reda på om han får
966 00:41:03,200 --> 00:41:05,460
få ut den här nyckeln eller inte.
967 00:41:06,860 --> 00:41:07,460
Så med det här
968 00:41:07,460 --> 00:41:08,300
check-setup.
969 00:41:09,920 --> 00:41:10,240
Och
970 00:41:10,240 --> 00:41:11,440
eh…
971 00:41:11,520 --> 00:41:13,440
Det första som de försökte
972 00:41:13,440 --> 00:41:15,320
sig på när de analyserade det här var
973 00:41:15,320 --> 00:41:17,460
att fan, allting är ju rappat
974 00:41:17,460 --> 00:41:19,340
i den här blobban. Och den är
975 00:41:19,340 --> 00:41:20,400
användarkontrollerad.
976 00:41:21,060 --> 00:41:23,240
Och med allt så menar jag hostname
977 00:41:23,240 --> 00:41:24,920
och path-arubbet.
978 00:41:25,500 --> 00:41:27,320
Vad händer om vi styr om den här
979 00:41:27,320 --> 00:41:28,920
frågan? Vi styr den inte till
980 00:41:28,920 --> 00:41:31,320
Amazons STS utan vi styr den till
981 00:41:31,320 --> 00:41:33,440
våran egen evil STS-server.
982 00:41:34,200 --> 00:41:35,320
Men det funkar inte då
983 00:41:35,320 --> 00:41:37,260
för att då det hade Walt sitt
984 00:41:37,260 --> 00:41:39,600
så de hade snappat upp, de hårdkodade
985 00:41:39,600 --> 00:41:41,020
vilken host det här skulle vidare till.
986 00:41:41,520 --> 00:41:43,160
Och de skickade inte vidare
987 00:41:43,160 --> 00:41:45,260
blocket helt
988 00:41:45,260 --> 00:41:46,960
orört utan de
989 00:41:46,960 --> 00:41:49,380
verifierade att det verkligen var korrekt
990 00:41:49,380 --> 00:41:50,600
hostname i alla fall.
991 00:41:51,500 --> 00:41:53,880
Så det skete sig det, det är den tanken då.
992 00:41:55,080 --> 00:41:55,640
Och så
993 00:41:55,640 --> 00:41:57,760
började de kika lite på svaret
994 00:41:57,760 --> 00:41:59,240
som kommer tillbaks från det här
995 00:41:59,240 --> 00:42:01,200
get-caller-identity. Hur
996 00:42:01,200 --> 00:42:03,880
parsas det? Ja, det var en XML-parser
997 00:42:03,880 --> 00:42:05,100
från Go som kändes
998 00:42:05,100 --> 00:42:06,520
hyfsat robust i alla fall.
999 00:42:07,600 --> 00:42:09,460
Men så, de hade, okej, de hade inte
1000 00:42:09,460 --> 00:42:11,360
kontroll över hostname men de kan ändra
1001 00:42:11,520 --> 00:42:14,020
på pathnamen, alltså på URL-en
1002 00:42:14,020 --> 00:42:15,720
och de kan även ändra på headers
1003 00:42:15,720 --> 00:42:16,600
i det här andropet.
1004 00:42:17,700 --> 00:42:19,360
Och det de upptäckte då var att om de
1005 00:42:19,360 --> 00:42:21,100
ändrade headen så att
1006 00:42:21,100 --> 00:42:23,640
man bad om JSON istället
1007 00:42:23,640 --> 00:42:25,440
för XML, man skickade alltså med
1008 00:42:25,440 --> 00:42:27,080
application.json som
1009 00:42:27,080 --> 00:42:29,280
i headen, då
1010 00:42:29,280 --> 00:42:31,520
noterade STS det och
1011 00:42:31,520 --> 00:42:32,740
svarade i JSON.
1012 00:42:33,460 --> 00:42:35,940
Och det är ju också native-funktionalitet i just
1013 00:42:35,940 --> 00:42:37,520
API-delen här
1014 00:42:37,520 --> 00:42:39,740
att du kan definiera
1015 00:42:39,740 --> 00:42:41,240
hur du vill kommunicera med API-et.
1016 00:42:41,520 --> 00:42:43,200
Japp. Och där finns det olika typer
1017 00:42:43,200 --> 00:42:45,260
av stöd. Det var dock inte
1018 00:42:45,260 --> 00:42:47,460
riktigt XML-parsen beredd på
1019 00:42:47,460 --> 00:42:49,600
så att när det kom en JSON till XML-parsen
1020 00:42:49,600 --> 00:42:51,280
så reagerade den genom att
1021 00:42:51,280 --> 00:42:52,800
bara kasta bort den skiten.
1022 00:42:53,000 --> 00:42:54,520
Det här var inte XML så det slänger bort.
1023 00:42:56,260 --> 00:42:56,700
Men
1024 00:42:56,700 --> 00:42:59,180
det de upptäckte var att om det kom
1025 00:42:59,180 --> 00:43:01,060
lite XML i den här textsträngen
1026 00:43:01,060 --> 00:43:03,140
så slängde de bort allting som var före
1027 00:43:03,140 --> 00:43:05,220
och allt som var efter men de tog liksom det som
1028 00:43:05,220 --> 00:43:07,120
var XML. Det tolkade de som
1029 00:43:07,120 --> 00:43:08,620
XML. Praktiskt!
1030 00:43:08,620 --> 00:43:11,040
Ja, så tillsammans
1031 00:43:11,040 --> 00:43:12,500
med att de nog kunde styra
1032 00:43:12,500 --> 00:43:14,680
pathen så insåg de att vi kan
1033 00:43:14,680 --> 00:43:16,280
på något sätt få
1034 00:43:16,280 --> 00:43:18,600
om vi kan styra, om vi får någon form av reflection
1035 00:43:18,600 --> 00:43:20,520
i STS så att någonting
1036 00:43:20,520 --> 00:43:22,660
av det vi skapar i vårat
1037 00:43:22,660 --> 00:43:24,260
bundlat
1038 00:43:24,260 --> 00:43:26,800
wrappade authentication token
1039 00:43:26,800 --> 00:43:28,700
om någonting av det kan
1040 00:43:28,700 --> 00:43:30,700
reflekta tillbaka i någon
1041 00:43:30,700 --> 00:43:32,440
slags textfält i den här
1042 00:43:32,440 --> 00:43:34,660
JSON-blobban, då har
1043 00:43:34,660 --> 00:43:36,680
vi någonting. Och då lyckades de
1044 00:43:36,680 --> 00:43:38,840
hitta en STS-tjänst som
1045 00:43:38,840 --> 00:43:40,220
vad fan var den hette?
1046 00:43:41,040 --> 00:43:41,780
Det var någon sån där
1047 00:43:41,780 --> 00:43:44,220
det var någon JVT-historia
1048 00:43:44,220 --> 00:43:45,060
Mm
1049 00:43:45,060 --> 00:43:48,620
Vad fan är den?
1050 00:43:48,640 --> 00:43:51,160
Get Caller ID Identity Response
1051 00:43:51,160 --> 00:43:52,380
är ju den XML
1052 00:43:52,380 --> 00:43:53,960
det är väl det de gör
1053 00:43:53,960 --> 00:43:57,200
Assume Role with Web Identity
1054 00:43:57,200 --> 00:43:57,980
Precis
1055 00:43:57,980 --> 00:44:01,000
Det är någon sån, du skickar in
1056 00:44:01,000 --> 00:44:02,800
en JVT och så får du den rollen
1057 00:44:02,800 --> 00:44:04,780
Subject Form Web Identity Token är det de använder
1058 00:44:04,780 --> 00:44:06,380
tror jag va? För att göra
1059 00:44:06,380 --> 00:44:09,040
vad heter det? Resume Role with
1060 00:44:09,040 --> 00:44:10,960
Web Identity. Precis, ja det här är ju
1061 00:44:10,960 --> 00:44:13,320
mäktigt. Det här är andra grejer
1062 00:44:13,320 --> 00:44:15,160
som kommer vara sårbara för, kan jag
1063 00:44:15,160 --> 00:44:16,460
ju nämna för folk där ute
1064 00:44:16,460 --> 00:44:18,880
för den här används ju också för
1065 00:44:18,880 --> 00:44:21,340
för federerad inloggning
1066 00:44:21,340 --> 00:44:22,740
på vissa olika
1067 00:44:22,740 --> 00:44:24,680
valideringsmetoder
1068 00:44:24,680 --> 00:44:27,360
av exakt samma just JVT
1069 00:44:27,360 --> 00:44:28,660
eller tokenbaserad
1070 00:44:28,660 --> 00:44:30,680
det här är intressant, ja
1071 00:44:30,680 --> 00:44:33,100
sorry. Och just sub
1072 00:44:33,100 --> 00:44:35,300
fältet i
1073 00:44:35,300 --> 00:44:37,020
JVT-tokenet, för du skickar in
1074 00:44:37,020 --> 00:44:38,760
ett JVT-token då och sen så parsar
1075 00:44:38,760 --> 00:44:40,880
STS-servernan och så i SVA
1076 00:44:40,960 --> 00:44:42,900
rätt tillbaks så har den
1077 00:44:42,900 --> 00:44:44,660
parsat ut då och då ligger
1078 00:44:44,660 --> 00:44:46,920
subfältet där och det är
1079 00:44:46,920 --> 00:44:48,420
någonting som är ganska enkelt att påverka
1080 00:44:48,420 --> 00:44:50,980
när du bygger hela den här attacken i blomban då
1081 00:44:50,980 --> 00:44:52,940
så där hittar man den här
1082 00:44:52,940 --> 00:44:54,380
reflected-möjligheten då
1083 00:44:54,380 --> 00:44:56,700
för att det här skulle funka
1084 00:44:56,700 --> 00:44:58,700
så krävde det sig att man byggde en egen
1085 00:44:58,700 --> 00:44:59,860
Identity Provider dock
1086 00:44:59,860 --> 00:45:02,660
men det behövde inte vara i samma
1087 00:45:02,660 --> 00:45:04,640
konto utan det räcker att bygga
1088 00:45:04,640 --> 00:45:06,340
en Identity Provider på ett annat
1089 00:45:06,340 --> 00:45:08,580
avs-konto. Precis, det måste vara på AVS
1090 00:45:08,580 --> 00:45:10,060
för att den använder väl den statiska
1091 00:45:10,960 --> 00:45:13,860
när det blir stjärna.sts
1092 00:45:13,860 --> 00:45:15,260
eller stjärna.s3
1093 00:45:15,260 --> 00:45:16,560
avs.com typ
1094 00:45:16,560 --> 00:45:18,620
tänker jag, det är det
1095 00:45:18,620 --> 00:45:20,400
som är det viktiga här.
1096 00:45:21,180 --> 00:45:22,760
Där är jag faktiskt lite osäker
1097 00:45:22,760 --> 00:45:25,540
exakt hur det funkar, alltså varför
1098 00:45:25,540 --> 00:45:26,960
litar den på en
1099 00:45:26,960 --> 00:45:29,320
vilken jävla Identity Provider som helst
1100 00:45:29,320 --> 00:45:30,860
i det här kontextet, för det är ju
1101 00:45:30,860 --> 00:45:32,900
har du en Identity Provider
1102 00:45:32,900 --> 00:45:35,700
High Availability tror jag att det är
1103 00:45:35,700 --> 00:45:37,100
det vill säga att
1104 00:45:37,100 --> 00:45:39,100
det är High Availability, så det vill säga att
1105 00:45:39,100 --> 00:45:40,900
STS.apps
1106 00:45:40,960 --> 00:45:42,360
AmazonAVS.com
1107 00:45:42,360 --> 00:45:44,720
slash vad du nu stoppar in där, det vill säga
1108 00:45:44,720 --> 00:45:47,220
typ Assume Role with Web Identity
1109 00:45:47,220 --> 00:45:49,040
det är det du kallar på
1110 00:45:49,040 --> 00:45:51,140
så frågan blir alltid ställt till
1111 00:45:51,140 --> 00:45:53,400
HTTPS, STS, Amazon.com
1112 00:45:53,400 --> 00:45:54,440
frågetecken
1113 00:45:54,440 --> 00:45:55,960
och sen vad det är du ska göra.
1114 00:45:56,960 --> 00:45:59,180
Och det är därinne hela din Web Identity
1115 00:45:59,180 --> 00:45:59,760
och din
1116 00:45:59,760 --> 00:46:02,900
Identity Token och allt sånt
1117 00:46:02,900 --> 00:46:04,280
hamnar i det requestet.
1118 00:46:05,040 --> 00:46:07,060
Så det är nog därför det blir
1119 00:46:07,060 --> 00:46:09,120
alltså
1120 00:46:09,120 --> 00:46:10,900
det är därför de kan ju alltid skapa
1121 00:46:10,960 --> 00:46:13,140
en egen, för att den kommer alltid gå till samma
1122 00:46:13,140 --> 00:46:15,520
URL, men frågan kommer att se annorlunda ut.
1123 00:46:16,480 --> 00:46:19,380
Det jag funderade på varför
1124 00:46:19,380 --> 00:46:21,180
för jag menar den måste ju
1125 00:46:21,180 --> 00:46:23,080
validera GVT-tokenet mot en publik
1126 00:46:23,080 --> 00:46:23,560
nyckel.
1127 00:46:24,920 --> 00:46:25,880
Det är senare steg väl?
1128 00:46:26,900 --> 00:46:28,900
Det är väl ett senare steg va?
1129 00:46:29,820 --> 00:46:31,160
Nej, det är här
1130 00:46:31,160 --> 00:46:33,180
för att skapa ett GVT-token kan ju vem som helst
1131 00:46:33,180 --> 00:46:34,840
göra, men sen ska ju STS
1132 00:46:34,840 --> 00:46:37,180
validera GVT-tokenet, för det var en viktig
1133 00:46:37,180 --> 00:46:38,880
fråga, det måste vara ett validt GVT-token
1134 00:46:38,880 --> 00:46:40,560
som den ska kunna validera då.
1135 00:46:40,960 --> 00:46:43,080
Och för att det ska vara ett validt GVT-token
1136 00:46:43,080 --> 00:46:44,820
så måste man regga IDP-en
1137 00:46:44,820 --> 00:46:46,980
i, du måste göra en
1138 00:46:46,980 --> 00:46:48,720
mappning mellan
1139 00:46:48,720 --> 00:46:50,580
mellan din
1140 00:46:50,580 --> 00:46:53,060
OpenID Connect IDP
1141 00:46:53,060 --> 00:46:54,900
till någon rollmappning i
1142 00:46:54,900 --> 00:46:56,960
AVS där på något sätt. Den fattar du ju aldrig
1143 00:46:56,960 --> 00:46:57,340
riktigt.
1144 00:46:58,000 --> 00:47:00,600
Den måste vara kopplad till
1145 00:47:00,600 --> 00:47:03,040
en riktig
1146 00:47:03,040 --> 00:47:04,200
User ID liksom.
1147 00:47:05,080 --> 00:47:06,980
Det måste finnas ett helt ARN
1148 00:47:06,980 --> 00:47:08,620
kopplat till User ID.
1149 00:47:09,040 --> 00:47:10,920
Det måste finnas en korresponderande
1150 00:47:10,920 --> 00:47:12,180
konfiguration i STS.
1151 00:47:12,620 --> 00:47:14,100
Frågan måste bli, ja, precis.
1152 00:47:14,880 --> 00:47:16,520
Det här är asmäktigt ju.
1153 00:47:17,860 --> 00:47:19,160
Och då kan du bygga
1154 00:47:19,160 --> 00:47:21,220
ett GVT, och det GVT kan se ut
1155 00:47:21,220 --> 00:47:23,240
hur som helst, för jag är ju användare, jag har kontroll
1156 00:47:23,240 --> 00:47:24,900
över det, jag äger dessutom IDP-en.
1157 00:47:25,500 --> 00:47:27,080
Så jag bygger den här GVT-en, och
1158 00:47:27,080 --> 00:47:29,260
i subfältet då, så lägger
1159 00:47:29,260 --> 00:47:30,920
jag en XML-blobba.
1160 00:47:31,500 --> 00:47:33,140
Och den XML-blobban, det är
1161 00:47:33,140 --> 00:47:35,320
det som är själva svaret
1162 00:47:35,320 --> 00:47:37,300
från Get Caller
1163 00:47:37,300 --> 00:47:37,840
Identity.
1164 00:47:37,840 --> 00:47:40,360
Så där lägger jag
1165 00:47:40,360 --> 00:47:42,180
den identiteten som jag vill
1166 00:47:42,180 --> 00:47:43,020
låtsas vara.
1167 00:47:44,640 --> 00:47:46,300
Och det här är egentligen det enda jag behöver
1168 00:47:46,300 --> 00:47:48,680
veta då. Jag behöver veta vilken
1169 00:47:48,680 --> 00:47:49,880
IOM-användare
1170 00:47:49,880 --> 00:47:52,400
har rättighet kopplad
1171 00:47:52,400 --> 00:47:53,500
till sig i VOLT.
1172 00:47:53,980 --> 00:47:56,000
Så det är den enda informationen jag behöver få tag i förväg.
1173 00:47:56,100 --> 00:47:58,240
Har jag bara den, så
1174 00:47:58,240 --> 00:48:00,240
kan jag, och så måste jag ju ha access
1175 00:48:00,240 --> 00:48:01,140
till VOLT då, givetvis.
1176 00:48:01,740 --> 00:48:03,820
Där måste jag ju exponera en
1177 00:48:03,820 --> 00:48:06,460
tjänst. Så ofta så är det ju så att man
1178 00:48:06,460 --> 00:48:07,600
förmodligen är på något sätt
1179 00:48:07,600 --> 00:48:09,540
inne i det här systemet. Man är en utav
1180 00:48:09,540 --> 00:48:11,720
en utav poddarna
1181 00:48:11,720 --> 00:48:13,320
eller något som snurrar här. En är C2 som
1182 00:48:13,320 --> 00:48:15,900
snurrar här. Men då kan jag extrahera
1183 00:48:15,900 --> 00:48:17,320
alla nycklar, typ.
1184 00:48:18,260 --> 00:48:20,020
Som den användaren har tillgång till
1185 00:48:20,020 --> 00:48:21,740
såklart. Ja, men jag menar
1186 00:48:21,740 --> 00:48:24,760
vet jag då ungefär vilka IOM-användare
1187 00:48:24,760 --> 00:48:26,220
som finns, som används
1188 00:48:26,220 --> 00:48:28,080
för att prata med VOLT, så kan jag ju
1189 00:48:28,080 --> 00:48:29,780
bara anta den identiteten en efter en.
1190 00:48:31,560 --> 00:48:32,540
Men jag gillar den här.
1191 00:48:33,080 --> 00:48:34,300
Supersnygg attack, verkligen.
1192 00:48:35,800 --> 00:48:36,600
Men det måste ju vara
1193 00:48:36,600 --> 00:48:37,500
rollbaserat.
1194 00:48:37,600 --> 00:48:39,560
Det kan ju inte vara användare, det måste ju vara
1195 00:48:39,560 --> 00:48:41,640
rollen, alltså
1196 00:48:41,640 --> 00:48:42,640
VOLT-rollen.
1197 00:48:44,420 --> 00:48:45,820
Det här får jag läsa på,
1198 00:48:45,960 --> 00:48:47,840
för det känns konstigt att det är kopplat till användare, utan det
1199 00:48:47,840 --> 00:48:49,820
måste ju vara kontextbaserat på något sätt.
1200 00:48:49,840 --> 00:48:51,800
Nej, men du har helt rätt. Det är ju inte en användare,
1201 00:48:51,880 --> 00:48:53,120
det är ju en roll motsvarande.
1202 00:48:53,720 --> 00:48:54,140
Ja, precis.
1203 00:48:55,060 --> 00:48:56,460
Det är ju liksom någonting som är…
1204 00:48:56,460 --> 00:48:58,900
Jag har
1205 00:48:58,900 --> 00:49:01,600
sett i eten
1206 00:49:01,600 --> 00:49:02,140
att
1207 00:49:02,140 --> 00:49:05,580
just GCP har haft lite
1208 00:49:05,580 --> 00:49:07,560
problem de senaste
1209 00:49:07,600 --> 00:49:09,980
dagarna med en viss sårbarhetstyp
1210 00:49:09,980 --> 00:49:11,300
som vi inte behöver nämna
1211 00:49:11,300 --> 00:49:12,800
mer, men
1212 00:49:12,800 --> 00:49:15,340
jag visste inte att det var Project Zero.
1213 00:49:15,440 --> 00:49:17,480
Jag visste inte att… När kom det här ut? Alltså, när kom den här
1214 00:49:17,480 --> 00:49:19,660
bloggposten ut? I tisdags
1215 00:49:19,660 --> 00:49:21,660
så att… Och idag är det ju onsdag
1216 00:49:21,660 --> 00:49:23,760
så det är igår och det här. Ja, för jag tänkte det.
1217 00:49:23,840 --> 00:49:25,420
Det här låter så sjukt likt
1218 00:49:25,420 --> 00:49:27,420
någonting helt annat. Det kommer
1219 00:49:27,420 --> 00:49:29,720
nog bli lite mer ringar på vattnet här.
1220 00:49:30,240 --> 00:49:31,600
Men kanske andra…
1221 00:49:32,400 --> 00:49:33,560
GCP är med i samma
1222 00:49:33,560 --> 00:49:35,720
bloggpost med en väldigt
1223 00:49:35,720 --> 00:49:36,480
liknande
1224 00:49:36,480 --> 00:49:38,080
problembild.
1225 00:49:41,520 --> 00:49:42,000
Coolness.
1226 00:49:42,300 --> 00:49:43,960
Det här kommer bli mer ringar på vattnet
1227 00:49:43,960 --> 00:49:45,660
tror jag. Man kan ju
1228 00:49:45,660 --> 00:49:47,840
fråga sig, man kan tänka sig, undra
1229 00:49:47,840 --> 00:49:48,400
hur
1230 00:49:48,400 --> 00:49:51,640
federerad inloggning sker på AWS.
1231 00:49:52,780 --> 00:49:52,900
Ja.
1232 00:49:53,440 --> 00:49:55,200
Det känns verkligen som att…
1233 00:49:55,200 --> 00:49:56,560
Man kan tänka på det.
1234 00:49:58,200 --> 00:49:59,820
Och så kan man tänka lite då
1235 00:49:59,820 --> 00:50:01,780
GVT, man kanske kan
1236 00:50:01,780 --> 00:50:03,320
tänka lite OAuth
1237 00:50:03,320 --> 00:50:05,380
och sen kanske man kan tänka lite på
1238 00:50:05,380 --> 00:50:06,460
vilka leverantörer som har den här
1239 00:50:06,480 --> 00:50:07,920
på internet som kanske har den här
1240 00:50:07,920 --> 00:50:10,160
tjänsten natively.
1241 00:50:10,960 --> 00:50:12,560
Där det är hela produkten. Och så säger man
1242 00:50:12,560 --> 00:50:13,540
inga namn.
1243 00:50:15,140 --> 00:50:15,820
Det gör man inte.
1244 00:50:17,180 --> 00:50:18,600
Det var det med Volt i alla fall.
1245 00:50:19,160 --> 00:50:20,800
På tal om att få den i tvåan
1246 00:50:20,800 --> 00:50:22,900
då så Grindr
1247 00:50:22,900 --> 00:50:24,180
har ju haft lite säkerhetsproblem.
1248 00:50:25,080 --> 00:50:26,140
Det är en
1249 00:50:26,140 --> 00:50:27,680
sexapp eller?
1250 00:50:28,320 --> 00:50:30,640
Ja, det är inte nödvändigtvis
1251 00:50:30,640 --> 00:50:32,500
en sexapp men det är en app för
1252 00:50:32,500 --> 00:50:33,880
att ligga.
1253 00:50:33,880 --> 00:50:36,160
Ja, tillfälliga
1254 00:50:36,160 --> 00:50:37,520
kontakter mellan
1255 00:50:37,520 --> 00:50:39,180
manliga och homosexuella.
1256 00:50:39,700 --> 00:50:40,640
Ah, okej.
1257 00:50:41,520 --> 00:50:42,820
Nu förstår jag varför du har koll på det.
1258 00:50:43,340 --> 00:50:44,760
Och de hade en
1259 00:50:44,760 --> 00:50:47,380
trasighet i deras
1260 00:50:47,380 --> 00:50:49,740
password reset som var trivial
1261 00:50:49,740 --> 00:50:51,340
att exploatera.
1262 00:50:51,380 --> 00:50:53,740
Man behövde liksom inte ens tillgång
1263 00:50:53,740 --> 00:50:55,740
till den mailboxen
1264 00:50:55,740 --> 00:50:57,760
som reset-token
1265 00:50:57,760 --> 00:50:58,500
skickades till.
1266 00:50:59,520 --> 00:51:01,660
Och det var ju illa då.
1267 00:51:02,400 --> 00:51:03,380
Och för att liksom
1268 00:51:03,380 --> 00:51:05,820
hålla sin tjänst
1269 00:51:05,820 --> 00:51:07,000
säker då så
1270 00:51:07,000 --> 00:51:08,320
kom de ju på att
1271 00:51:08,320 --> 00:51:11,000
vi behöver ju starta ett
1272 00:51:11,000 --> 00:51:12,000
Bug Bounty-program.
1273 00:51:13,580 --> 00:51:14,300
Och
1274 00:51:14,300 --> 00:51:17,560
de fick lite
1275 00:51:17,560 --> 00:51:18,520
skit av
1276 00:51:18,520 --> 00:51:20,960
Katie Moussouris som
1277 00:51:20,960 --> 00:51:23,120
ju är kvinnan
1278 00:51:23,120 --> 00:51:24,400
bakom
1279 00:51:24,400 --> 00:51:27,020
bland annat HackerOne då som
1280 00:51:27,020 --> 00:51:29,120
nu är hon på Lute Security
1281 00:51:29,120 --> 00:51:30,260
som väl är hennes eget.
1282 00:51:30,260 --> 00:51:32,220
Men hon
1283 00:51:32,220 --> 00:51:34,160
var ju tidigt ute med det här med
1284 00:51:34,160 --> 00:51:35,260
att liksom samordna
1285 00:51:35,820 --> 00:51:37,900
Bug Bounty-program och hon har fullständigt
1286 00:51:37,900 --> 00:51:39,100
sågat deras
1287 00:51:39,100 --> 00:51:42,080
ambition att dra igång ett Bug Bounty-program
1288 00:51:42,080 --> 00:51:43,940
för hon hävdar att när man har den här
1289 00:51:43,940 --> 00:51:45,980
typen av lågt hängande frukt så
1290 00:51:45,980 --> 00:51:48,320
är man inte hjälpt av ett Bug Bounty-program.
1291 00:51:48,660 --> 00:51:49,280
Då ska man
1292 00:51:49,280 --> 00:51:51,900
börja med att koda rätt
1293 00:51:51,900 --> 00:51:52,620
från början.
1294 00:51:53,600 --> 00:51:55,820
Så det var en riktig sån rant
1295 00:51:55,820 --> 00:51:57,680
kring det här.
1296 00:51:58,900 --> 00:51:59,800
Jag tyckte den var
1297 00:51:59,800 --> 00:52:01,480
lite humoristisk.
1298 00:52:02,280 --> 00:52:03,720
Framförallt just hennes
1299 00:52:03,720 --> 00:52:05,680
sätt att fullständigt
1300 00:52:05,680 --> 00:52:07,800
såga idén med att
1301 00:52:07,800 --> 00:52:09,760
de skulle ha ett Bug Bounty-program för hon menar på
1302 00:52:09,760 --> 00:52:11,880
att det här är så uselt
1303 00:52:11,880 --> 00:52:13,700
så att ni ska börja med
1304 00:52:13,700 --> 00:52:15,660
att förstå säkerhet innan
1305 00:52:15,660 --> 00:52:17,040
ni drar igång ett Bug Bounty-program.
1306 00:52:17,880 --> 00:52:19,700
Ja, det låter inte som att de är speciellt
1307 00:52:19,700 --> 00:52:21,900
redo att ta emot den floden av rapporter
1308 00:52:21,900 --> 00:52:22,440
som dyker upp.
1309 00:52:22,520 --> 00:52:24,880
Nej, så är det.
1310 00:52:26,600 --> 00:52:27,720
Så baksidan
1311 00:52:27,720 --> 00:52:29,280
jag brukar ju säga det är lite som
1312 00:52:29,280 --> 00:52:31,380
någon som säger här
1313 00:52:31,380 --> 00:52:33,660
vi ska ha Red Team-tester
1314 00:52:33,660 --> 00:52:35,560
innan man ens har börjat fundera på
1315 00:52:35,680 --> 00:52:37,440
att dra igång ett program
1316 00:52:37,440 --> 00:52:39,900
för att koda applikationerna säkert.
1317 00:52:40,260 --> 00:52:41,740
Det är lite
1318 00:52:41,740 --> 00:52:43,840
i fel ände. Man är inte redo att få ta emot
1319 00:52:43,840 --> 00:52:44,600
den rapporten.
1320 00:52:46,300 --> 00:52:46,980
Ja, och
1321 00:52:46,980 --> 00:52:49,920
nu blir det ju som en ström
1322 00:52:49,920 --> 00:52:51,660
av saker som bara hänger ihop här.
1323 00:52:52,600 --> 00:52:53,720
För jag höll på att tala om
1324 00:52:53,720 --> 00:52:56,000
män som är tillfälliga förbindelser.
1325 00:52:56,640 --> 00:52:58,060
Så har
1326 00:52:58,060 --> 00:53:00,300
Pentest Partners
1327 00:53:00,300 --> 00:53:00,860
tror jag de heter.
1328 00:53:01,760 --> 00:53:03,340
Det är de som tidigare har tittat på
1329 00:53:03,340 --> 00:53:04,700
blandade vuxenlekssaker.
1330 00:53:05,680 --> 00:53:06,640
Och fortsatt den trenden.
1331 00:53:07,380 --> 00:53:09,500
Och kallar den senaste rapporten för en riktig
1332 00:53:09,500 --> 00:53:10,120
cock-up.
1333 00:53:11,820 --> 00:53:13,320
Det är ett manligt
1334 00:53:13,320 --> 00:53:14,360
kyskhetsbälte.
1335 00:53:15,760 --> 00:53:16,620
Det är en
1336 00:53:16,620 --> 00:53:19,360
lås
1337 00:53:19,360 --> 00:53:21,660
som man
1338 00:53:21,660 --> 00:53:23,460
trär över
1339 00:53:23,460 --> 00:53:25,280
privata delar och sen så
1340 00:53:25,280 --> 00:53:27,040
låser med en rejäl
1341 00:53:27,040 --> 00:53:29,140
härdad stålbygel
1342 00:53:29,140 --> 00:53:31,880
vid basen
1343 00:53:31,880 --> 00:53:32,240
kan vi säga.
1344 00:53:33,340 --> 00:53:35,060
Det här är då kopplat till en
1345 00:53:35,680 --> 00:53:38,160
bluetoothgrej
1346 00:53:38,160 --> 00:53:40,340
en app via bluetooth samt
1347 00:53:40,340 --> 00:53:41,700
givetvis ett API
1348 00:53:41,700 --> 00:53:44,260
och någon slags internetkoppling.
1349 00:53:44,420 --> 00:53:45,580
Fan vet exakt hur det går till.
1350 00:53:45,920 --> 00:53:48,160
Men så är det. Den är alltså uppkopplad
1351 00:53:48,160 --> 00:53:48,760
via API.
1352 00:53:50,440 --> 00:53:52,640
Och de satt sig ner och tittade lite på det här
1353 00:53:52,640 --> 00:53:53,420
och upptäckte ganska få…
1354 00:53:53,420 --> 00:53:54,680
Vem kom på den idén?
1355 00:53:54,900 --> 00:53:58,460
Jag vet inte. Men det är tydligen en trend nu.
1356 00:53:58,680 --> 00:54:00,220
Och de sa även i rapporten att
1357 00:54:00,220 --> 00:54:02,640
uppkopplade sexlekssaker
1358 00:54:02,640 --> 00:54:04,540
har tydligen fått sig en riktig boost
1359 00:54:04,540 --> 00:54:05,660
nu i covid-tiden.
1360 00:54:05,680 --> 00:54:06,980
Där har man sålt supermycket.
1361 00:54:08,200 --> 00:54:09,280
Men åter till
1362 00:54:09,280 --> 00:54:10,020
sagan.
1363 00:54:11,420 --> 00:54:13,120
För att prata, för att
1364 00:54:13,120 --> 00:54:15,100
attensera sig mot API så behövs en
1365 00:54:15,100 --> 00:54:16,240
membercode.
1366 00:54:17,080 --> 00:54:18,860
Och den här membercode är liksom ett
1367 00:54:18,860 --> 00:54:20,540
användar-id litegrann kan man säga.
1368 00:54:21,580 --> 00:54:23,600
Och den var inte superlång
1369 00:54:23,600 --> 00:54:24,560
och hade visst
1370 00:54:24,560 --> 00:54:27,140
var inte helt slumpmässig.
1371 00:54:27,340 --> 00:54:29,060
Man kunde liksom koppla den lite till
1372 00:54:29,060 --> 00:54:31,460
till datumet
1373 00:54:31,460 --> 00:54:32,820
när man skapade användaren.
1374 00:54:32,820 --> 00:54:34,260
Men det var
1375 00:54:34,260 --> 00:54:36,020
besvärligt i alla fall
1376 00:54:36,020 --> 00:54:37,580
att lista ut alla de här.
1377 00:54:38,380 --> 00:54:40,040
Men för att göra det lite lättare så fanns det
1378 00:54:40,040 --> 00:54:41,620
något som hette en friendcode
1379 00:54:41,620 --> 00:54:44,300
som var betydligt kortare. Jag tror det var sex siffror.
1380 00:54:45,880 --> 00:54:46,840
Och det kunde de
1381 00:54:46,840 --> 00:54:48,380
bruteforsa på typ två dagar
1382 00:54:48,380 --> 00:54:50,020
eller någonting. Alla möjliga användare.
1383 00:54:51,200 --> 00:54:52,340
Och det finurliga med det
1384 00:54:52,340 --> 00:54:54,160
var att hade man
1385 00:54:54,160 --> 00:54:55,240
bara sin friendcode
1386 00:54:55,240 --> 00:54:58,000
så kunde man få ut membercoden.
1387 00:54:59,360 --> 00:55:00,440
Jättefinurligt. Så nu hade man
1388 00:55:00,440 --> 00:55:02,300
alla membercodes och det var typ allt
1389 00:55:02,300 --> 00:55:04,140
som behövdes. För när man har sina membercodes
1390 00:55:04,260 --> 00:55:06,160
då kan man
1391 00:55:06,160 --> 00:55:08,320
få reda på vilka device-ID
1392 00:55:08,320 --> 00:55:10,740
som en member är kopplad till och vilka rättigheter
1393 00:55:10,740 --> 00:55:12,420
de har. Och så kan man
1394 00:55:12,420 --> 00:55:13,900
ändra de här rättigheterna.
1395 00:55:14,820 --> 00:55:15,600
Det är ju finurligt.
1396 00:55:16,200 --> 00:55:18,460
För att det man kunde göra då var
1397 00:55:18,460 --> 00:55:20,780
till exempel ta bort alla rättigheter
1398 00:55:20,780 --> 00:55:22,200
till alla devices
1399 00:55:22,200 --> 00:55:23,500
från alla användare.
1400 00:55:25,260 --> 00:55:26,580
Vilket gjorde då att
1401 00:55:26,580 --> 00:55:28,800
om du hade det här kyskelspältet
1402 00:55:28,800 --> 00:55:30,060
på dig och det var låst
1403 00:55:30,060 --> 00:55:31,820
så gick det inte att låsa upp det.
1404 00:55:31,820 --> 00:55:34,220
Ja, det går inte att låsa upp det.
1405 00:55:34,260 --> 00:55:36,120
För det fanns inget sätt
1406 00:55:36,120 --> 00:55:38,220
att komma tillbaks. Det fanns inga
1407 00:55:38,220 --> 00:55:40,440
knappar eller nycklar
1408 00:55:40,440 --> 00:55:41,840
eller någonting du kunde använda fysiskt.
1409 00:55:42,160 --> 00:55:43,560
Då satt du där.
1410 00:55:44,820 --> 00:55:46,480
Och det var ju typ vinkelslip som gällde
1411 00:55:46,480 --> 00:55:48,160
och det har härdat stål
1412 00:55:48,160 --> 00:55:49,020
en rejäl bit.
1413 00:55:50,980 --> 00:55:52,420
Jävligt dålig kombo då.
1414 00:55:53,500 --> 00:55:54,500
Vinkelslip brukar oftast
1415 00:55:54,500 --> 00:55:56,340
vara ett jävligt precisionsverktyg
1416 00:55:56,340 --> 00:55:57,360
som används ofta vid
1417 00:55:57,360 --> 00:55:59,640
operation av genitalier.
1418 00:55:59,980 --> 00:56:02,120
Blev det här utnyttjat i det vilda?
1419 00:56:02,120 --> 00:56:02,560
Eller vad var det?
1420 00:56:03,380 --> 00:56:04,240
Inte vad vi vet.
1421 00:56:04,260 --> 00:56:06,080
En annan kul fakta var att
1422 00:56:06,080 --> 00:56:07,540
bortsett från att man fick reda på
1423 00:56:07,540 --> 00:56:09,340
vilka devices det var kopplat till
1424 00:56:09,340 --> 00:56:12,180
och sånt, så kunde man
1425 00:56:12,180 --> 00:56:14,140
även få ut var någonstans
1426 00:56:14,140 --> 00:56:15,760
jag tror det var IP-baserat då
1427 00:56:15,760 --> 00:56:18,360
var man befann sig när man
1428 00:56:18,360 --> 00:56:19,880
signade upp, när man
1429 00:56:19,880 --> 00:56:21,640
pairade sina devices.
1430 00:56:21,940 --> 00:56:23,760
Så man kunde se vilken spridning det här
1431 00:56:23,760 --> 00:56:26,220
hade i världen. Det var också rätt roligt.
1432 00:56:26,820 --> 00:56:27,780
Så det var ett sånt tur att det var ingen
1433 00:56:27,780 --> 00:56:29,840
GPS-location då, utan det var väl
1434 00:56:29,840 --> 00:56:32,620
någon geolocation på IP bara.
1435 00:56:32,620 --> 00:56:34,100
Men ändå, man kunde se ungefär
1436 00:56:34,100 --> 00:56:36,100
vilka det var. Och givetvis kunde man ju se
1437 00:56:36,100 --> 00:56:38,760
lite privat information också
1438 00:56:38,760 --> 00:56:40,800
som lösenord som de hade valt
1439 00:56:40,800 --> 00:56:42,780
och lite namn och sådana grejer.
1440 00:56:43,020 --> 00:56:44,540
Så att, ja, that happened.
1441 00:56:45,160 --> 00:56:46,640
Major cock-up med andra ord.
1442 00:56:46,960 --> 00:56:47,840
Major cock-up.
1443 00:56:48,120 --> 00:56:50,600
En kul grej var att det tog ganska lång tid
1444 00:56:50,600 --> 00:56:52,260
disclosure-processen här.
1445 00:56:52,400 --> 00:56:54,340
För att det började med
1446 00:56:54,340 --> 00:56:56,520
väldigt bra bemötande från leverantören.
1447 00:56:57,600 --> 00:56:58,460
Och så satte
1448 00:56:58,460 --> 00:57:00,520
leverantören själv en tre månaders gräns.
1449 00:57:00,580 --> 00:57:02,760
Vi ska vara färdiga om tre månader, då kan ni släppa informationen.
1450 00:57:02,980 --> 00:57:04,080
Men sen kom den tillbaka.
1451 00:57:04,100 --> 00:57:05,200
Och så sa de, nej, vi hinner inte.
1452 00:57:07,160 --> 00:57:08,520
Och sen bad de en förlängning
1453 00:57:08,520 --> 00:57:10,520
ytterligare några gånger. Så att den här självpåtagna
1454 00:57:11,220 --> 00:57:12,540
disclosure-perioden,
1455 00:57:12,560 --> 00:57:14,180
det skedde sig lite grann.
1456 00:57:15,180 --> 00:57:16,060
Så det tog väldigt lång tid.
1457 00:57:16,140 --> 00:57:17,720
Och under den tiden så lyckades de
1458 00:57:17,720 --> 00:57:20,380
komma på ett sätt
1459 00:57:20,380 --> 00:57:22,800
för folk som har fastnat i den här
1460 00:57:22,800 --> 00:57:24,180
att
1461 00:57:24,180 --> 00:57:26,540
ta loss
1462 00:57:26,540 --> 00:57:28,520
utan våldsverktyg
1463 00:57:29,400 --> 00:57:30,480
faktiskt ta loss den.
1464 00:57:30,820 --> 00:57:32,360
Det gick att dra upp
1465 00:57:32,360 --> 00:57:33,840
någon plastplupp på något ställe och
1466 00:57:34,100 --> 00:57:35,840
hitta två sladdar och sätta tre våld på dem.
1467 00:57:35,920 --> 00:57:37,960
Och så var det en motor som man kunde sätta
1468 00:57:37,960 --> 00:57:39,580
bakåt så att den öppnades.
1469 00:57:40,580 --> 00:57:41,260
Så det var förnuligt.
1470 00:57:41,380 --> 00:57:43,880
Jag tycker det var ett väldigt ansvarsfullt
1471 00:57:43,880 --> 00:57:45,700
information att skicka med.
1472 00:57:46,500 --> 00:57:47,960
Jag älskar det. Tjuvkopplade
1473 00:57:47,960 --> 00:57:48,840
i ett tjusketspälte.
1474 00:57:50,160 --> 00:57:52,020
Det känns ju som att man har kunnat
1475 00:57:52,020 --> 00:57:53,620
skicka det där till lockpicking-lawyer.
1476 00:57:53,740 --> 00:57:55,380
Han brukar kunna öppna…
1477 00:57:55,380 --> 00:57:55,920
Det är det värt.
1478 00:57:58,420 --> 00:58:00,720
Vilket underbart avsnitt det hade varit.
1479 00:58:01,080 --> 00:58:01,920
Det får man ju faktiskt
1480 00:58:01,920 --> 00:58:03,660
göra tips om. Det här måste du göra.
1481 00:58:04,100 --> 00:58:04,860
Fixa det här.
1482 00:58:05,460 --> 00:58:07,400
Ja, skoj. Med de orden kanske det är dags
1483 00:58:07,400 --> 00:58:08,400
att runda av nu.
1484 00:58:08,980 --> 00:58:10,040
Vi har ju en massa grejer.
1485 00:58:11,420 --> 00:58:12,840
Har vi det? Ja.
1486 00:58:13,340 --> 00:58:14,420
Jag tror du var klara här.
1487 00:58:15,220 --> 00:58:15,460
Nej.
1488 00:58:17,760 --> 00:58:19,440
Jag tror att jag hade minst två grejer
1489 00:58:19,440 --> 00:58:20,120
jag skulle prata om.
1490 00:58:20,600 --> 00:58:21,380
Go, go, go!
1491 00:58:23,380 --> 00:58:25,540
Zero-logon är ju någonting som jag borde
1492 00:58:25,540 --> 00:58:27,400
ha läst på mycket bättre om.
1493 00:58:29,400 --> 00:58:29,800
Men…
1494 00:58:29,800 --> 00:58:31,960
Jag har läst på
1495 00:58:31,960 --> 00:58:33,540
och pyttelit om det i vart fall.
1496 00:58:34,100 --> 00:58:36,360
En jätte, jättekonstig
1497 00:58:36,360 --> 00:58:36,860
historia.
1498 00:58:40,320 --> 00:58:41,220
Man har ju…
1499 00:58:41,220 --> 00:58:42,940
Ja, Windows-grejen, ja. Precis.
1500 00:58:43,680 --> 00:58:44,120
Precis.
1501 00:58:45,120 --> 00:58:47,340
Det är ingen annan som kan någonting om det här.
1502 00:58:48,160 --> 00:58:48,920
Take it away!
1503 00:58:49,920 --> 00:58:52,280
Ja, jag ska kolla upp det här nu.
1504 00:58:52,500 --> 00:58:53,660
Man har en
1505 00:58:53,660 --> 00:58:55,500
inloggning
1506 00:58:55,500 --> 00:58:58,040
när man loggar in
1507 00:58:58,040 --> 00:59:00,240
mot Windows-domäner och sånt.
1508 00:59:02,040 --> 00:59:03,500
Där skjuter man in ett nonce.
1509 00:59:04,100 --> 00:59:05,860
Och sen sker det
1510 00:59:05,860 --> 00:59:07,460
en massa coola krypto-grejer.
1511 00:59:08,280 --> 00:59:10,080
Och då är ju tanken att
1512 00:59:10,080 --> 00:59:11,640
det ska vara omöjligt
1513 00:59:11,640 --> 00:59:13,160
att svara rätt här.
1514 00:59:14,340 --> 00:59:15,620
Om man inte
1515 00:59:15,620 --> 00:59:17,580
vet…
1516 00:59:17,580 --> 00:59:20,440
Den här handskakningen
1517 00:59:20,440 --> 00:59:21,900
ska bara bli
1518 00:59:21,900 --> 00:59:22,540
rätt
1519 00:59:22,540 --> 00:59:25,660
om man besitter rätt lösenord.
1520 00:59:26,780 --> 00:59:28,100
Eller rätt…
1521 00:59:29,620 --> 00:59:32,060
Det ska inte gå att lyckas med att besvara
1522 00:59:32,060 --> 00:59:33,900
den här grejen om man
1523 00:59:33,900 --> 00:59:36,120
inte vet hemligheten.
1524 00:59:36,980 --> 00:59:37,780
Just det.
1525 00:59:40,660 --> 00:59:41,300
Men…
1526 00:59:41,300 --> 00:59:43,400
Så kommer vi till det stora männet
1527 00:59:43,400 --> 00:59:44,580
som är att
1528 00:59:44,580 --> 00:59:49,080
om man går lite längre ner
1529 00:59:49,080 --> 00:59:50,820
i hur man beräknar ut
1530 00:59:50,820 --> 00:59:52,460
de här grejerna så kommer man till
1531 00:59:52,460 --> 00:59:54,480
skifferläget
1532 00:59:54,480 --> 00:59:56,600
OS 128
1533 00:59:56,600 --> 00:59:58,420
CFB 8.
1534 01:00:00,260 --> 01:00:02,320
Som är ett mod som vi har koll på.
1535 01:00:02,820 --> 01:00:03,880
Ja, som de här grejerna.
1536 01:00:03,880 --> 01:00:05,180
De konstaterar då, för
1537 01:00:05,180 --> 01:00:08,420
det är Naked Security jag tjuvläser på
1538 01:00:08,420 --> 01:00:10,800
och de var ju ungefär samma läge
1539 01:00:10,800 --> 01:00:12,120
som är såhär…
1540 01:00:12,120 --> 01:00:14,400
Ja, men det här är väl typ CFB
1541 01:00:14,400 --> 01:00:16,960
som kanske inte är det mest poppiga läget.
1542 01:00:17,700 --> 01:00:18,620
Men det är det ju inte
1543 01:00:18,620 --> 01:00:20,360
utan det är liksom en
1544 01:00:20,360 --> 01:00:22,300
egen ny variant
1545 01:00:22,300 --> 01:00:24,060
på CFB, eller i alla fall en väldigt
1546 01:00:24,060 --> 01:00:26,060
ovanlig variant.
1547 01:00:27,480 --> 01:00:28,920
Någon Windows-grej, eller?
1548 01:00:30,080 --> 01:00:31,060
Alltså, jag vet inte
1549 01:00:31,060 --> 01:00:32,100
om det här används
1550 01:00:32,100 --> 01:00:33,700
någon annanstans.
1551 01:00:33,880 --> 01:00:36,040
Men, den använder
1552 01:00:36,040 --> 01:00:39,620
alltså en OS-krypteringsinstruktion
1553 01:00:39,620 --> 01:00:41,060
till
1554 01:00:41,060 --> 01:00:43,820
för varje tecken
1555 01:00:43,820 --> 01:00:45,000
som ska krypteras.
1556 01:00:45,940 --> 01:00:47,860
Så om du jämför den mot de flesta
1557 01:00:47,860 --> 01:00:49,460
andra lägen som gör om
1558 01:00:49,460 --> 01:00:49,900
en
1559 01:00:49,900 --> 01:00:53,760
ett blockskiffer till ett
1560 01:00:53,760 --> 01:00:55,620
skifferläge så brukar du ju liksom
1561 01:00:55,620 --> 01:00:57,500
typ med OS
1562 01:00:57,500 --> 01:00:59,740
så brukar du ju kryptera 128
1563 01:00:59,740 --> 01:01:00,920
bitar med
1564 01:01:00,920 --> 01:01:03,320
varje iteration.
1565 01:01:03,320 --> 01:01:03,680
Men,
1566 01:01:03,880 --> 01:01:04,820
det här CFB8
1567 01:01:04,820 --> 01:01:07,660
den kör en
1568 01:01:07,660 --> 01:01:09,480
kryptooperation
1569 01:01:09,480 --> 01:01:10,800
för varje enskild byte.
1570 01:01:10,980 --> 01:01:13,180
Så den är dyr som satans.
1571 01:01:13,640 --> 01:01:15,980
Den kör liksom otroligt
1572 01:01:15,980 --> 01:01:17,180
mycket mer krypto
1573 01:01:17,180 --> 01:01:19,820
än vad man normalt sett brukar göra då.
1574 01:01:21,320 --> 01:01:22,140
Och som man har vetat
1575 01:01:22,140 --> 01:01:23,560
om man jobbar mer
1576 01:01:23,560 --> 01:01:25,680
så blir ju alltså naturligtvis
1577 01:01:25,680 --> 01:01:27,100
resultatet mycket bättre.
1578 01:01:28,180 --> 01:01:29,100
Det är ju så gammalt.
1579 01:01:31,820 --> 01:01:32,660
Kan man tro.
1580 01:01:32,660 --> 01:01:33,460
Det blir…
1581 01:01:33,880 --> 01:01:35,620
Det sker något sjukt konstigt här
1582 01:01:35,620 --> 01:01:37,800
alltså med hur grejer
1583 01:01:37,800 --> 01:01:38,980
sammanfaller.
1584 01:01:40,020 --> 01:01:41,980
Och vad Netlogon
1585 01:01:41,980 --> 01:01:43,740
handlar om
1586 01:01:43,740 --> 01:01:44,520
det är alltså att
1587 01:01:44,520 --> 01:01:47,920
när du börjar göra den här handskakningen
1588 01:01:47,920 --> 01:01:54,140
så uppger du
1589 01:01:54,140 --> 01:01:55,160
att
1590 01:01:55,160 --> 01:01:57,840
att jag tror
1591 01:01:57,840 --> 01:01:58,480
svaret är
1592 01:01:58,480 --> 01:01:58,780
eller
1593 01:01:58,780 --> 01:02:01,540
svaret är 0-0-0
1594 01:02:01,540 --> 01:02:03,820
typ är det man skjuter.
1595 01:02:03,880 --> 01:02:06,920
Så i första delen
1596 01:02:06,920 --> 01:02:09,320
av challengen så skjuter man in
1597 01:02:09,320 --> 01:02:10,780
bara nollor.
1598 01:02:11,200 --> 01:02:12,700
Och det här kommer att trilla in
1599 01:02:12,700 --> 01:02:14,740
i skiffermordet på något jättekonstigt sätt.
1600 01:02:15,920 --> 01:02:17,200
Och jag har inte förstått
1601 01:02:17,200 --> 01:02:18,020
hela detaljen här.
1602 01:02:18,580 --> 01:02:20,560
Men vad som händer är att när båda två
1603 01:02:20,560 --> 01:02:23,100
har varit med och deltagit med lite slumpmässighet
1604 01:02:23,100 --> 01:02:25,080
så på grund av lite kul
1605 01:02:25,080 --> 01:02:27,380
egenskaper i skiffermordet
1606 01:02:27,380 --> 01:02:28,880
hur lite samverket sammanfaller
1607 01:02:29,440 --> 01:02:32,920
så får du en helt hysterisk
1608 01:02:32,920 --> 01:02:33,860
hög samverkighet.
1609 01:02:33,880 --> 01:02:35,920
Att den
1610 01:02:35,920 --> 01:02:37,800
rätta svaret
1611 01:02:37,800 --> 01:02:40,100
på den slutgiltiga challengen
1612 01:02:40,100 --> 01:02:42,440
kommer vara
1613 01:02:42,440 --> 01:02:43,600
bara nollor.
1614 01:02:44,280 --> 01:02:45,240
Du får liksom så här
1615 01:02:45,240 --> 01:02:47,600
det är fortfarande så att det är typ
1616 01:02:47,600 --> 01:02:49,560
1 på 256 att
1617 01:02:49,560 --> 01:02:51,780
att svaret
1618 01:02:51,780 --> 01:02:52,700
bara kommer vara nollor.
1619 01:02:53,000 --> 01:02:55,720
Men om du ansluter för det här
1620 01:02:55,720 --> 01:02:57,900
200 gånger eller fler
1621 01:02:57,900 --> 01:02:59,820
och säger att
1622 01:02:59,820 --> 01:03:01,800
min del av slumpmässigheten är nollor
1623 01:03:03,880 --> 01:03:05,680
och så bitar du av den andra sidan
1624 01:03:05,680 --> 01:03:06,840
med sin slumpmässighet
1625 01:03:06,840 --> 01:03:09,540
och så kommer slutberäkningen så har du
1626 01:03:09,540 --> 01:03:11,520
en hög sannolikhet att bara nollor
1627 01:03:11,520 --> 01:03:12,480
är rätt svar.
1628 01:03:14,640 --> 01:03:15,580
Så du
1629 01:03:15,580 --> 01:03:17,860
liksom allting bara sammanfaller
1630 01:03:17,860 --> 01:03:19,260
på något jätteroligt sätt där
1631 01:03:19,260 --> 01:03:21,600
skjuta nollor i den här beräkningen
1632 01:03:21,600 --> 01:03:23,740
gör att rätt svar i slutändan
1633 01:03:23,740 --> 01:03:25,800
är en jättehög sannolikhet
1634 01:03:25,800 --> 01:03:26,500
att det blir nollor.
1635 01:03:28,040 --> 01:03:29,480
Så du som
1636 01:03:29,480 --> 01:03:31,320
challenge så skjuter du in
1637 01:03:31,320 --> 01:03:33,380
plain texten nollor och
1638 01:03:33,880 --> 01:03:35,820
resultatet i slutändan
1639 01:03:35,820 --> 01:03:36,480
blir nollor.
1640 01:03:37,840 --> 01:03:38,980
Det låter jättetrasigt.
1641 01:03:39,360 --> 01:03:41,060
Det låter som om man har gjort bort sig på riktigt.
1642 01:03:41,540 --> 01:03:43,520
Men efter bara 200 iterationer
1643 01:03:43,520 --> 01:03:44,680
det verkar ju jättekonstigt.
1644 01:03:45,720 --> 01:03:47,980
Alltså du får typ bidra
1645 01:03:47,980 --> 01:03:48,900
du får liksom
1646 01:03:48,900 --> 01:03:51,760
försöka rätt många gånger
1647 01:03:51,760 --> 01:03:52,780
innan det lyckas liksom
1648 01:03:52,780 --> 01:03:55,480
men att försöka med ett antal
1649 01:03:55,480 --> 01:03:56,960
hundra inloggningar på
1650 01:03:56,960 --> 01:03:59,820
en modern dator
1651 01:03:59,820 --> 01:04:01,100
det går ju på nanosekunder
1652 01:04:01,100 --> 01:04:02,380
eller mikrosekunder.
1653 01:04:02,380 --> 01:04:02,640
Ja.
1654 01:04:03,360 --> 01:04:06,400
Men vadå fanns det ett praktiskt exempel
1655 01:04:06,400 --> 01:04:07,180
för brute force?
1656 01:04:07,200 --> 01:04:08,400
Du vill välja klientchallengen
1657 01:04:08,400 --> 01:04:10,780
bara nollor
1658 01:04:10,780 --> 01:04:14,760
och då har du en på 256
1659 01:04:14,760 --> 01:04:15,680
att
1660 01:04:15,680 --> 01:04:18,420
skiffertexten kommer att bli
1661 01:04:18,420 --> 01:04:19,120
bara nollor.
1662 01:04:19,820 --> 01:04:22,080
Ja då behöver du bara statistiskt
1663 01:04:22,080 --> 01:04:23,780
prova 128 gånger.
1664 01:04:26,040 --> 01:04:26,600
Ja.
1665 01:04:27,620 --> 01:04:29,780
Det här är jag så dålig på. Jag behöver alltid
1666 01:04:29,780 --> 01:04:31,600
kolla upp sånt här men det låter ju väldigt
1667 01:04:31,600 --> 01:04:32,340
tunt alltså.
1668 01:04:32,380 --> 01:04:34,380
Med dagens måttmätt.
1669 01:04:35,740 --> 01:04:36,200
Ja, ja, ja.
1670 01:04:36,440 --> 01:04:38,240
Men framförallt så är det ju
1671 01:04:38,240 --> 01:04:39,660
det är ju jättekonstigt.
1672 01:04:40,960 --> 01:04:42,560
Det är en trasig
1673 01:04:42,560 --> 01:04:44,240
algoritm är det. Det kan vi konstatera.
1674 01:04:44,560 --> 01:04:46,820
Ja, ja, ja. Och en av slutsatserna
1675 01:04:46,820 --> 01:04:48,320
att komma här, det här
1676 01:04:48,320 --> 01:04:49,140
CFB8
1677 01:04:49,140 --> 01:04:52,140
modet ska aldrig någonsin
1678 01:04:52,140 --> 01:04:54,040
användas igen.
1679 01:04:54,920 --> 01:04:56,260
Så det är ju ingenting majs
1680 01:04:56,260 --> 01:04:57,480
att göra egentligen utan det är
1681 01:04:57,480 --> 01:05:00,200
Men var kommer den ifrån?
1682 01:05:00,200 --> 01:05:02,200
Vem har hittat
1683 01:05:02,380 --> 01:05:04,140
på CFB-8
1684 01:05:04,140 --> 01:05:06,560
som mod liksom?
1685 01:05:06,800 --> 01:05:08,420
Står det med i RFC-en för
1686 01:05:08,420 --> 01:05:09,640
AIS liksom?
1687 01:05:11,620 --> 01:05:12,520
CBC-mod
1688 01:05:12,520 --> 01:05:14,360
eller de här är ju ganska väl definierade.
1689 01:05:14,500 --> 01:05:16,260
Det här verkar ju knasigt.
1690 01:05:16,280 --> 01:05:18,060
Författaren av den här bloggposten hade ju aldrig
1691 01:05:18,060 --> 01:05:20,340
någonsin hört talas om den tidigare. Jag har aldrig
1692 01:05:20,340 --> 01:05:21,380
hört talas om den tidigare.
1693 01:05:22,420 --> 01:05:24,620
Det har inte jag heller men det betyder ingenting.
1694 01:05:25,280 --> 01:05:26,240
Nej men det är absolut
1695 01:05:26,240 --> 01:05:28,520
inget av de vanliga moden.
1696 01:05:28,980 --> 01:05:30,640
Det finns en rustimplementation
1697 01:05:30,640 --> 01:05:31,600
av den säger jag när jag
1698 01:05:31,600 --> 01:05:34,340
googlar och
1699 01:05:34,340 --> 01:05:35,740
nu ska vi se
1700 01:05:35,740 --> 01:05:37,900
jo men Wikipedia
1701 01:05:37,900 --> 01:05:39,540
listar han. Nu ska vi se.
1702 01:05:40,280 --> 01:05:40,700
Då så.
1703 01:05:41,820 --> 01:05:43,360
Då är det ju sant. Det vet ju alla.
1704 01:05:44,680 --> 01:05:45,540
Alltså bara
1705 01:05:45,540 --> 01:05:47,940
för att
1706 01:05:47,940 --> 01:05:49,500
ja
1707 01:05:49,500 --> 01:05:51,920
jo nej men
1708 01:05:51,920 --> 01:05:54,260
den här är ändå
1709 01:05:54,260 --> 01:05:56,420
vedertagen typ.
1710 01:05:57,760 --> 01:05:58,260
Ja nej men
1711 01:05:58,260 --> 01:05:59,880
den här finns nog liksom.
1712 01:05:59,880 --> 01:06:01,020
Man sa ju mer än
1713 01:06:01,020 --> 01:06:03,460
om nu de här
1714 01:06:03,460 --> 01:06:05,320
om det här är det de kallar CFB8
1715 01:06:05,320 --> 01:06:07,520
är samma som Microsofts CFB8
1716 01:06:07,520 --> 01:06:09,520
så finns det inte heller någon
1717 01:06:09,520 --> 01:06:11,580
garanti liksom. Men det här är
1718 01:06:11,580 --> 01:06:13,180
någonting man vill kolla upp för det verkar ju
1719 01:06:13,180 --> 01:06:14,860
helt dödsretarderat.
1720 01:06:15,660 --> 01:06:17,780
Ja och det är inte första gången
1721 01:06:17,780 --> 01:06:19,620
krypto går sönder. Vi har ju sett det
1722 01:06:19,620 --> 01:06:21,540
tidigare med hur
1723 01:06:21,540 --> 01:06:24,000
de här olika blockchiffermoden
1724 01:06:24,000 --> 01:06:25,600
verkligen
1725 01:06:25,600 --> 01:06:27,420
kan gå jättesunder.
1726 01:06:28,000 --> 01:06:29,820
Men det är så jätteroligt
1727 01:06:29,820 --> 01:06:30,460
här att
1728 01:06:31,020 --> 01:06:32,060
det finns en massa
1729 01:06:32,060 --> 01:06:33,920
det finns en massa jobbig
1730 01:06:33,920 --> 01:06:36,060
kryptologik bakom den här grunkan
1731 01:06:36,060 --> 01:06:37,820
så att den är liksom
1732 01:06:37,820 --> 01:06:39,640
det här är verkligen
1733 01:06:39,640 --> 01:06:41,980
Det det påminner mig om är de här gamla finger
1734 01:06:41,980 --> 01:06:43,980
fingertrycks
1735 01:06:43,980 --> 01:06:46,320
alltså biometrisensorerna som sa att de var
1736 01:06:46,320 --> 01:06:48,360
256 bitars
1737 01:06:48,360 --> 01:06:50,020
encryption. Bara det
1738 01:06:50,020 --> 01:06:52,460
att jag tror de var paddad
1739 01:06:52,460 --> 01:06:54,500
med 192 nollor eller något sånt här.
1740 01:06:54,980 --> 01:06:56,380
Men det som är sjukt här
1741 01:06:56,380 --> 01:06:58,160
är att det sker supermycket krypto
1742 01:06:58,160 --> 01:06:59,760
arbete eftersom den gör en
1743 01:06:59,760 --> 01:07:00,860
operation per
1744 01:07:01,020 --> 01:07:03,660
inte så jävla nödvändiga
1745 01:07:03,660 --> 01:07:05,260
uppenbarligen. Men i slutändan så blir det
1746 01:07:05,260 --> 01:07:06,600
så blir det
1747 01:07:06,600 --> 01:07:09,040
alltså såhär och man struntar i att försöka
1748 01:07:09,040 --> 01:07:10,940
förstå vad som händer i skiffermodet för att
1749 01:07:10,940 --> 01:07:12,360
det kräver
1750 01:07:12,360 --> 01:07:15,040
att man tittar på en bild och verkligen
1751 01:07:15,040 --> 01:07:17,080
försöker fatta. Men i
1752 01:07:17,080 --> 01:07:18,580
slutändan så blir det ju liksom såhär
1753 01:07:18,580 --> 01:07:21,120
det finns ett challenge response protokoll
1754 01:07:21,120 --> 01:07:23,100
där du från din sida
1755 01:07:23,100 --> 01:07:24,820
säger hej
1756 01:07:24,820 --> 01:07:26,960
jag bidrar bara med nollor
1757 01:07:26,960 --> 01:07:29,260
och sen är slutresultatet
1758 01:07:29,260 --> 01:07:30,740
så när det räknas ut en skiffertext
1759 01:07:31,020 --> 01:07:32,100
så har du en
1760 01:07:32,100 --> 01:07:34,740
sjukt hög sannolikhet för att
1761 01:07:34,740 --> 01:07:36,340
slutresultatet blir bara nollor.
1762 01:07:37,120 --> 01:07:38,500
Ja det är knasigt alltså.
1763 01:07:38,500 --> 01:07:39,320
Så det är liksom såhär
1764 01:07:39,320 --> 01:07:42,700
det finns coola kryptogrejer här
1765 01:07:42,700 --> 01:07:44,500
men den faktiska attacken är bara
1766 01:07:44,500 --> 01:07:45,520
hallå!
1767 01:07:46,240 --> 01:07:48,400
Broken ass designed.
1768 01:07:48,860 --> 01:07:50,260
Ja det där vill man ju äta lite mer av.
1769 01:07:50,900 --> 01:07:52,860
Den här kryptomodet det bygger
1770 01:07:52,860 --> 01:07:54,460
på att IV
1771 01:07:54,460 --> 01:07:56,260
måste vara slumpmässigt
1772 01:07:56,260 --> 01:07:58,700
men att det inte är det i NetLogon
1773 01:07:58,700 --> 01:08:00,320
utan NetLogon sätter alltid till noll.
1774 01:08:00,320 --> 01:08:02,620
Så det tillsammans med alla de här nollorna
1775 01:08:02,620 --> 01:08:04,700
kan jag tänka mig, det fuckar väl upp det rätt hårt.
1776 01:08:05,600 --> 01:08:06,040
Ja just det.
1777 01:08:06,160 --> 01:08:08,300
Och IV är det väl som fröt då i det här fallet?
1778 01:08:08,680 --> 01:08:08,860
Mm.
1779 01:08:10,460 --> 01:08:11,360
Ja coolt.
1780 01:08:13,440 --> 01:08:14,660
Du hade någon till Peter?
1781 01:08:16,440 --> 01:08:16,880
Mm.
1782 01:08:17,780 --> 01:08:20,600
Jag har faktiskt en privat
1783 01:08:20,600 --> 01:08:22,840
grej här nu till min stora förvåning.
1784 01:08:23,240 --> 01:08:24,660
När Jesper
1785 01:08:24,660 --> 01:08:26,480
och jag pratar om tools så funderar jag på
1786 01:08:26,480 --> 01:08:28,360
har jag något tool som är coolt
1787 01:08:28,360 --> 01:08:29,600
att prata om som jag ändå har gjort någonstans
1788 01:08:30,320 --> 01:08:31,220
i den närmsta tiden.
1789 01:08:31,900 --> 01:08:33,800
Och det är ju inget jag har gjort som är så där jävla coolt.
1790 01:08:33,900 --> 01:08:35,980
Men till min förvåning så kan jag säga det att
1791 01:08:35,980 --> 01:08:37,800
mitt GitHub-konto
1792 01:08:37,800 --> 01:08:40,760
är ett trefälligt bidragare
1793 01:08:40,760 --> 01:08:43,460
till GitHub Archive Program.
1794 01:08:43,700 --> 01:08:45,120
Så de har typ grävt ner
1795 01:08:45,120 --> 01:08:47,320
källkod jag har varit inblandad i
1796 01:08:47,320 --> 01:08:48,000
på typ
1797 01:08:48,000 --> 01:08:51,620
under Nordpolen
1798 01:08:51,620 --> 01:08:52,140
eller någonting.
1799 01:08:52,800 --> 01:08:54,120
De har tryckt ner den på ett antal ställen
1800 01:08:54,120 --> 01:08:56,000
så att i typ tusen års tid
1801 01:08:56,000 --> 01:08:58,900
vill GitHub garantera att mina grejer
1802 01:08:58,900 --> 01:08:59,440
överlever.
1803 01:09:00,320 --> 01:09:02,780
Det finns en liten blaufisch där ute någonstans
1804 01:09:02,780 --> 01:09:03,800
i GitHub-kursen.
1805 01:09:03,820 --> 01:09:05,300
Alltså två av grejerna är ju ändå som så här typ
1806 01:09:05,300 --> 01:09:07,260
riktiga projekt
1807 01:09:07,260 --> 01:09:09,340
där det ändå så här, det är ju riktiga grejer.
1808 01:09:10,040 --> 01:09:11,720
Men de har också, de har också så här
1809 01:09:11,720 --> 01:09:14,100
ett av mina pyttesmå
1810 01:09:14,100 --> 01:09:16,380
hobbyprojekt som är bara skräp
1811 01:09:16,380 --> 01:09:16,840
och
1812 01:09:16,840 --> 01:09:20,080
har typ noll
1813 01:09:20,080 --> 01:09:22,320
likes och liksom som ingen
1814 01:09:22,320 --> 01:09:24,040
människa i hela världen
1815 01:09:24,040 --> 01:09:25,880
bryr sig om har också
1816 01:09:25,880 --> 01:09:27,820
blivit räddad till eftervärlden.
1817 01:09:28,820 --> 01:09:29,560
Vilket så här
1818 01:09:29,560 --> 01:09:32,160
då måste jag ha slumpat ut vilka projekt
1819 01:09:32,160 --> 01:09:32,920
för att
1820 01:09:32,920 --> 01:09:36,360
av alla meningslösa saker jag någon gång har skjutit upp
1821 01:09:36,360 --> 01:09:38,360
till en versionshantering
1822 01:09:38,360 --> 01:09:40,360
så är liksom de sidorna
1823 01:09:40,360 --> 01:09:42,040
är det mest meningslösa.
1824 01:09:43,580 --> 01:09:44,140
Så
1825 01:09:44,140 --> 01:09:45,400
ja, men
1826 01:09:45,400 --> 01:09:48,120
mitt arbete med Thalesfasser är nu
1827 01:09:48,120 --> 01:09:50,100
tydligen memorerat då
1828 01:09:50,100 --> 01:09:52,160
i githistoriken finns räddad
1829 01:09:52,160 --> 01:09:53,100
och sådär och kommer
1830 01:09:53,100 --> 01:09:56,240
om tusen år kommer någon lycklig utomjording
1831 01:09:56,240 --> 01:09:57,840
gräva upp resten av våran civilisation
1832 01:09:57,840 --> 01:09:59,480
och konstatera att fan,
1833 01:09:59,560 --> 01:10:01,120
vilken nice kodare Peter var
1834 01:10:01,120 --> 01:10:03,280
med de här usla raderna,
1835 01:10:03,420 --> 01:10:04,520
Pearl eller vad det nu var för något.
1836 01:10:04,580 --> 01:10:05,320
Det var inte svårt alltså.
1837 01:10:06,280 --> 01:10:07,560
Python var det nog för övrigt.
1838 01:10:08,720 --> 01:10:09,200
Coolt.
1839 01:10:10,000 --> 01:10:12,220
Vacker tanke som vi kan avsluta med avsnittet.
1840 01:10:12,660 --> 01:10:14,820
Jag tror det, vi har pratat en bra stund idag.
1841 01:10:14,960 --> 01:10:16,660
Okej, sista ordet är bara att
1842 01:10:16,660 --> 01:10:18,760
network time security
1843 01:10:18,760 --> 01:10:21,320
det säkra sättet
1844 01:10:21,320 --> 01:10:22,580
att snacka med inte-PS-övrar
1845 01:10:22,580 --> 01:10:24,580
har nu blivit RFC
1846 01:10:24,580 --> 01:10:27,300
som ett antal svenskar har varit inblandade i.
1847 01:10:28,360 --> 01:10:28,680
Så nu
1848 01:10:28,680 --> 01:10:30,260
kommer det finnas.
1849 01:10:30,600 --> 01:10:31,580
Nu är det på riktigt.
1850 01:10:32,780 --> 01:10:35,160
Netnode och Cloudflare och ett antal andra
1851 01:10:35,160 --> 01:10:38,080
erbjuder cool säker tid nu
1852 01:10:38,080 --> 01:10:39,400
så det är bara att vänta på att
1853 01:10:39,400 --> 01:10:41,300
Windows och liknande
1854 01:10:41,300 --> 01:10:42,480
börjar implementera stöd för det.
1855 01:10:43,860 --> 01:10:44,920
Det längtar vi efter.
1856 01:10:45,660 --> 01:10:46,200
Herregud ja.
1857 01:10:48,480 --> 01:10:48,920
Göttmos!
1858 01:10:49,820 --> 01:10:51,540
Jesper, drar du i snöret?
1859 01:10:51,900 --> 01:10:52,280
Jag tror det.
1860 01:10:52,600 --> 01:10:54,880
Det är fan tur det för jag håller på att brisera här borta.
1861 01:10:55,020 --> 01:10:55,980
Jag är dödskissidördig.
1862 01:10:56,480 --> 01:10:57,840
Det blev ett långt avsnitt.
1863 01:10:58,680 --> 01:11:01,380
Med de orden och en påtryckande
1864 01:11:01,380 --> 01:11:04,400
grej i min buk
1865 01:11:04,400 --> 01:11:06,360
så avslutar vi den här podcasten.
1866 01:11:06,800 --> 01:11:07,600
Jag hoppas du inte har
1867 01:11:07,600 --> 01:11:10,120
kyskretspältet på dig och glömt bort koden bara.
1868 01:11:10,340 --> 01:11:11,540
Alltså då blir det som det.
1869 01:11:11,640 --> 01:11:13,280
Det hade varit ganska skönt för då är det liksom
1870 01:11:13,280 --> 01:11:14,100
just go.
1871 01:11:14,860 --> 01:11:16,040
Alltså jag kan inte göra något åt det.
1872 01:11:16,160 --> 01:11:18,880
Om jag inte reverserar motorn då på batteriet
1873 01:11:18,880 --> 01:11:19,920
som jag har memorerat nu.
1874 01:11:20,500 --> 01:11:22,900
Men med de orden så avslutar vi
1875 01:11:22,900 --> 01:11:24,500
dagens osluterade avsnitt.
1876 01:11:24,500 --> 01:11:26,400
Jag som snackade hette Jesper Larsson
1877 01:11:26,400 --> 01:11:28,600
och med mig hade jag Mattias Idaget.
1878 01:11:28,680 --> 01:11:29,300
Yay!
1879 01:11:29,740 --> 01:11:32,140
Peter Magnusson. Den neonfärgade.
1880 01:11:32,900 --> 01:11:34,660
Och Rickard Bofors.
1881 01:11:35,140 --> 01:11:35,740
I en
1882 01:11:35,740 --> 01:11:37,640
virussäker bunker.
1883 01:11:38,180 --> 01:11:38,760
Mäktigt.
1884 01:11:40,100 --> 01:11:40,660
Ha det gött.