Intervjuavsnitt #11 - David Jacoby
Lyssna
Innehåll
Detta är det elfte intervjuavsnittet av Säkerhetspodcasten, i vilket Jesper och Peter intervjuar David Jacoby, säkerhetsexpert på Kaspersky, senast uppmärksammad för hans hackande av sitt smarta hem.
Inspelat: 2014-09-20. Längd: 18:36.
Länkar
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:09,000
Okej, vi börjar om. Okej, andra lagen, säcktee, vi är lite bakfulla, vi har suttit och pratat här en liten stund utan att trycka på rekord.
2 00:00:09,000 --> 00:00:12,000
State of mind, ja.
3 00:00:12,000 --> 00:00:14,000
Du har ingenting med alkohol att göra?
4 00:00:14,000 --> 00:00:16,000
Nej, jag har ingenting.
5 00:00:16,000 --> 00:00:19,000
Jag kan svettas lite men jag har inte heller något med alkohol att göra alls.
6 00:00:19,000 --> 00:00:21,000
Okej, vem sitter vi här med nu?
7 00:00:21,000 --> 00:00:25,000
David Jacobi som precis har kört min presentation om hur jag hackade mitt hem.
8 00:00:25,000 --> 00:00:31,000
Säkerhetsnörd, gillar skräckfilm, gamla datorer, stannat lite i tiden faktiskt.
9 00:00:31,000 --> 00:00:33,000
Jag gillar det, gamla grejer är bra grejer.
10 00:00:33,000 --> 00:00:34,000
Jag tycker också det.
11 00:00:34,000 --> 00:00:38,000
Du har hackat en hel bunt grejer i ditt hem nu, det var ett NAS.
12 00:00:38,000 --> 00:00:45,000
Ett NAS, två TV, två Blu-ray spelare, en ADS-celerator.
13 00:00:45,000 --> 00:00:48,000
Min skrivar hittade jag ingenting på tyvärr, det var lite synd.
14 00:00:48,000 --> 00:00:49,000
Ja, det är tråkigt.
15 00:00:49,000 --> 00:00:52,000
Är det en kanonskrivar eller vad var det för skrivar du hittade?
16 00:00:52,000 --> 00:00:54,000
Det var en skrivar med färg i.
17 00:00:54,000 --> 00:00:55,000
Ja!
18 00:00:55,000 --> 00:00:56,000
Ingen leverantör?
19 00:00:56,000 --> 00:00:59,000
Vi pratade om det innan du tryckte på knappen.
20 00:00:59,000 --> 00:01:04,000
Just det här med att säkerhet ofta handlar om att man ska ta sönder saker och sådär.
21 00:01:04,000 --> 00:01:10,000
Men leverantörerna är ju inte sådär jätteglada på att man går ut innan de hunnit fixa problemet.
22 00:01:10,000 --> 00:01:12,000
Därför jag säger att det bara är en färgskriver.
23 00:01:12,000 --> 00:01:16,000
Jag vill inte hamna i trubbel och det är ju ett problem i det hela.
24 00:01:16,000 --> 00:01:19,000
Men det är lite det du beskriver där.
25 00:01:19,000 --> 00:01:21,000
Om man nu gör en insats till exempel.
26 00:01:21,000 --> 00:01:24,000
Jag har fått för mig att så fort jag stöter på en aktiv phishing
27 00:01:24,000 --> 00:01:26,000
så ska jag reda ut den.
28 00:01:26,000 --> 00:01:29,000
Och det har blivit några stycken.
29 00:01:29,000 --> 00:01:32,000
Framförallt en i förra veckan som är sjukt intressant.
30 00:01:32,000 --> 00:01:35,000
Den har hållit på i ungefär 12 timmar.
31 00:01:35,000 --> 00:01:38,000
46 000 entries hade gått in i den.
32 00:01:38,000 --> 00:01:41,000
Med valida, sjukt valida grejer.
33 00:01:41,000 --> 00:01:43,000
En basic crime pack.
34 00:01:43,000 --> 00:01:45,000
Alltså inget svåra grejer.
35 00:01:45,000 --> 00:01:48,000
Men det tar ändå…
36 00:01:48,000 --> 00:01:50,000
Om man såhär…
37 00:01:50,000 --> 00:01:53,000
Tjänsten som hostade det här, behöver inte heller outa någonting.
38 00:01:53,000 --> 00:01:55,000
Det jag säger nu kommer vara dåligt.
39 00:01:55,000 --> 00:01:56,000
De återkopplar inte.
40 00:01:56,000 --> 00:01:57,000
Man får en ticket.
41 00:01:57,000 --> 00:01:59,000
Och sen återkopplar de inte.
42 00:01:59,000 --> 00:02:01,000
Däremot en annan part i detta då.
43 00:02:01,000 --> 00:02:03,000
Som kanske har med federerad identitet att göra.
44 00:02:03,000 --> 00:02:05,000
Så kan man ju lista ut det kanske själva.
45 00:02:05,000 --> 00:02:08,000
De svarar väldigt snabbt och gör någonting åt det från sin sida.
46 00:02:08,000 --> 00:02:09,000
Men det är ju också det.
47 00:02:09,000 --> 00:02:11,000
När man stöter på, även som privatperson.
48 00:02:11,000 --> 00:02:13,000
Så blir det ofta såhär…
49 00:02:13,000 --> 00:02:16,000
Well, there’s the door and fuck you sir.
50 00:02:16,000 --> 00:02:19,000
Men alltså jag tror också att det är många som inte riktigt bryr sig.
51 00:02:19,000 --> 00:02:21,000
Såhär att…
52 00:02:21,000 --> 00:02:24,000
Att okej, du lämnar ut information i en phishingattack.
53 00:02:24,000 --> 00:02:26,000
Det kan vara kreditkortsinformation och vad det är.
54 00:02:26,000 --> 00:02:28,000
Ingen bryr sig så länge det inte händer någonting.
55 00:02:28,000 --> 00:02:30,000
Och om någon då samlar in, jag vet inte hur många du sa.
56 00:02:30,000 --> 00:02:33,000
12 000, 100 000, hur mycket du nu var för någonting.
57 00:02:33,000 --> 00:02:36,000
Ja, det är kanske bara en promille av dem som faktiskt…
58 00:02:36,000 --> 00:02:38,000
Upptäcker och märker liksom att…
59 00:02:38,000 --> 00:02:41,000
Okej, det är någon som har varit inne och köpt någonting på mitt kreditkurs.
60 00:02:41,000 --> 00:02:43,000
Om du inte märker det, det är ju ingen som bryr sig.
61 00:02:43,000 --> 00:02:45,000
Det är ju också lite problem att…
62 00:02:45,000 --> 00:02:47,000
Du kan berätta för någon att okej…
63 00:02:47,000 --> 00:02:51,000
Ditt kreditkursnummer har kanske mest troligt blivit stul.
64 00:02:51,000 --> 00:02:53,000
Ja, okej.
65 00:02:53,000 --> 00:02:55,000
Ja, okej.
66 00:02:55,000 --> 00:02:58,000
Det är också en intressant aspekt när man tittar på det sådär…
67 00:02:58,000 --> 00:03:00,000
Om man blir fishad, om man har åkat ut för en gång.
68 00:03:00,000 --> 00:03:02,000
Så ringer ju i stort sett banken såhär bara du…
69 00:03:02,000 --> 00:03:03,000
Har du varit här?
70 00:03:03,000 --> 00:03:04,000
Bara nej, det har jag inte varit.
71 00:03:04,000 --> 00:03:05,000
Nej, okej.
72 00:03:05,000 --> 00:03:08,000
Men pengarna är återförda och du får ett nytt kort.
73 00:03:08,000 --> 00:03:09,000
Och sen är alla glada igen.
74 00:03:09,000 --> 00:03:10,000
Ja, och det är ju såhär.
75 00:03:10,000 --> 00:03:11,000
Och det måste ju vara så.
76 00:03:11,000 --> 00:03:14,000
För att skulle det inte vara så, så blir det ju…
77 00:03:14,000 --> 00:03:15,000
Massa kås.
78 00:03:15,000 --> 00:03:17,000
Då faller ju systemet egentligen.
79 00:03:17,000 --> 00:03:19,000
Men någonting som du sa som var intressant tycker jag.
80 00:03:19,000 --> 00:03:20,000
Det var det här med att…
81 00:03:20,000 --> 00:03:24,000
Du tycker att communityt bör delas kunskap bättre.
82 00:03:24,000 --> 00:03:25,000
Mm.
83 00:03:25,000 --> 00:03:27,000
Har du tänkt något mer på under vilka former?
84 00:03:27,000 --> 00:03:30,000
För jag kan definitivt hålla med att…
85 00:03:30,000 --> 00:03:34,000
Det contentet man konsumerar är oftast inte svenskt.
86 00:03:34,000 --> 00:03:36,000
I alla fall inte när jag…
87 00:03:36,000 --> 00:03:38,000
Men alltså ni gör ju ett bra jobb.
88 00:03:38,000 --> 00:03:40,000
Alltså det är ju en sak vi kan göra.
89 00:03:40,000 --> 00:03:43,000
Starta de här små podcasterna eller de bloggar eller någonting.
90 00:03:43,000 --> 00:03:45,000
Men om du tittar på communityn i Sverige.
91 00:03:45,000 --> 00:03:47,000
Det är inte mycket som händer i Sverige.
92 00:03:47,000 --> 00:03:49,000
Vissa företag bloggar lite såhär.
93 00:03:49,000 --> 00:03:50,000
De andra…
94 00:03:50,000 --> 00:03:51,000
De anställda.
95 00:03:51,000 --> 00:03:54,000
Men det känns att det handlar mer om marknadsföring och försäljning.
96 00:03:54,000 --> 00:03:56,000
Än faktiskt riktig säkerhetsforskning.
97 00:03:56,000 --> 00:03:58,000
Och det är ju någonting som har varit viktigt med den här podcasten.
98 00:03:58,000 --> 00:04:00,000
Att det inte ska vara corporate.
99 00:04:00,000 --> 00:04:01,000
Visst, vi har sponsorer.
100 00:04:01,000 --> 00:04:02,000
Men de får inte…
101 00:04:02,000 --> 00:04:04,000
Ja, de har ingen inverkan på innehållet.
102 00:04:04,000 --> 00:04:05,000
För att det ska vara just det här.
103 00:04:05,000 --> 00:04:06,000
Och det tycker jag…
104 00:04:06,000 --> 00:04:08,000
Sätter ju också såhär tro till sin sak.
105 00:04:08,000 --> 00:04:09,000
Det blir inte…
106 00:04:09,000 --> 00:04:10,000
Det är bra med singletracks.
107 00:04:10,000 --> 00:04:11,000
Det är inte jättecorporate.
108 00:04:11,000 --> 00:04:13,000
Och det är jävligt bra att tala det här.
109 00:04:13,000 --> 00:04:14,000
Ja, men det är det.
110 00:04:14,000 --> 00:04:16,000
Men det som Bård då…
111 00:04:16,000 --> 00:04:17,000
Mattias Bård sa att…
112 00:04:17,000 --> 00:04:20,000
Om det är 30% i år som är från Sverige.
113 00:04:20,000 --> 00:04:23,000
Ja, men det är 70% som inte är från Sverige.
114 00:04:23,000 --> 00:04:24,000
Och…
115 00:04:24,000 --> 00:04:27,000
Visst, det är kanske jättebra att det är 30% från Sverige.
116 00:04:27,000 --> 00:04:28,000
Men jag kan ju tycka att…
117 00:04:28,000 --> 00:04:31,000
På en svensk säkerhetskonferens så borde det nästan vara tvärtom.
118 00:04:31,000 --> 00:04:33,000
Att det är 70% från Sverige.
119 00:04:33,000 --> 00:04:34,000
Och 30 utomlands.
120 00:04:34,000 --> 00:04:35,000
Men det är ju…
121 00:04:35,000 --> 00:04:36,000
Alltså…
122 00:04:36,000 --> 00:04:38,000
Ska man vara ärlig så är det ju liksom…
123 00:04:38,000 --> 00:04:41,000
Det är ju inte så många svenskar som man känner igen.
124 00:04:41,000 --> 00:04:43,000
Liksom när det gäller liksom…
125 00:04:43,000 --> 00:04:44,000
Alltså som…
126 00:04:44,000 --> 00:04:46,000
Sett till publikationer och liknande.
127 00:04:46,000 --> 00:04:47,000
Nej, men…
128 00:04:47,000 --> 00:04:50,000
Det är ju väldigt många svenskar som jag känner igen som går på SecT.
129 00:04:50,000 --> 00:04:52,000
Och som man stöter på ute på konferenser.
130 00:04:52,000 --> 00:04:53,000
Och…
131 00:04:53,000 --> 00:04:54,000
Och olika så här…
132 00:04:54,000 --> 00:04:55,000
Pubkvällar och allt.
133 00:04:55,000 --> 00:04:56,000
Ja, absolut.
134 00:04:56,000 --> 00:04:57,000
När folk är säkerhetsbara.
135 00:04:57,000 --> 00:04:59,000
Så säkerhetsdammen är ju inte särskilt stor.
136 00:04:59,000 --> 00:05:00,000
Och de här människorna…
137 00:05:00,000 --> 00:05:01,000
Har…
138 00:05:01,000 --> 00:05:03,000
Ganska bra erfarenhet i det många små.
139 00:05:03,000 --> 00:05:06,000
Med pentesting och hitta massa prylar i sitt jobb.
140 00:05:06,000 --> 00:05:08,000
Folk som gör säkerhetsforskning…
141 00:05:08,000 --> 00:05:10,000
På sin fritid och så här.
142 00:05:10,000 --> 00:05:11,000
Och som sagt…
143 00:05:11,000 --> 00:05:13,000
Det behöver ju inte bara handla om att man ska ta sönder saker.
144 00:05:13,000 --> 00:05:14,000
Men jag…
145 00:05:14,000 --> 00:05:15,000
Jag personligen tror att…
146 00:05:15,000 --> 00:05:18,000
Man är lite rädd för…
147 00:05:18,000 --> 00:05:20,000
Många är rädda för…
148 00:05:20,000 --> 00:05:21,000
Att…
149 00:05:21,000 --> 00:05:22,000
Att…
150 00:05:22,000 --> 00:05:23,000
Ta kontakt med en konferens.
151 00:05:23,000 --> 00:05:24,000
Och tala på en konferens.
152 00:05:24,000 --> 00:05:26,000
För att du tar för givet att…
153 00:05:26,000 --> 00:05:27,000
Om du ska tala på en konferens.
154 00:05:27,000 --> 00:05:29,000
Så måste det handla om…
155 00:05:29,000 --> 00:05:31,000
Att man ska släppa Zero Days-årigheter.
156 00:05:31,000 --> 00:05:32,000
Och att…
157 00:05:32,000 --> 00:05:34,000
Du måste ha någonting som är så groundbreaking nytt.
158 00:05:34,000 --> 00:05:35,000
Så att…
159 00:05:35,000 --> 00:05:37,000
Du ska ta hela världen med storm.
160 00:05:37,000 --> 00:05:38,000
Ja, det kan jag nog hålla med om.
161 00:05:38,000 --> 00:05:39,000
Och det är ju…
162 00:05:39,000 --> 00:05:40,000
Det är ju…
163 00:05:40,000 --> 00:05:41,000
Det ska man nog inte gå in med.
164 00:05:41,000 --> 00:05:43,000
Utan snarare så här…
165 00:05:43,000 --> 00:05:44,000
Det beror lite på vilket forum det är.
166 00:05:44,000 --> 00:05:45,000
Här…
167 00:05:45,000 --> 00:05:46,000
Här så tror jag att en…
168 00:05:46,000 --> 00:05:47,000
En tung teknisk…
169 00:05:47,000 --> 00:05:48,000
Presentation…
170 00:05:48,000 --> 00:05:49,000
Går hem.
171 00:05:49,000 --> 00:05:50,000
Men om man tar på en lite bredare IT-mässa.
172 00:05:50,000 --> 00:05:51,000
Ta…
173 00:05:51,000 --> 00:05:52,000
Som vi har i Göteborg till exempel.
174 00:05:52,000 --> 00:05:53,000
ICTM.
175 00:05:53,000 --> 00:05:54,000
ICP.
176 00:05:54,000 --> 00:05:55,000
Security Expo.
177 00:05:55,000 --> 00:05:56,000
Där är det ju mer down with down.
178 00:05:56,000 --> 00:05:57,000
För att sprida.
179 00:05:57,000 --> 00:05:58,000
Det här går faktiskt att göra.
180 00:05:58,000 --> 00:05:59,000
För att säga.
181 00:05:59,000 --> 00:06:00,000
Det här är dåligt.
182 00:06:00,000 --> 00:06:01,000
Det här måste vi ta hand om.
183 00:06:01,000 --> 00:06:02,000
Ja, men…
184 00:06:02,000 --> 00:06:03,000
Du sa en viktig punkt där.
185 00:06:03,000 --> 00:06:04,000
Så här.
186 00:06:04,000 --> 00:06:05,000
Men det här går att göra.
187 00:06:05,000 --> 00:06:06,000
Detta är dåligt.
188 00:06:06,000 --> 00:06:07,000
Men det är väldigt få människor.
189 00:06:07,000 --> 00:06:08,000
Som inte då som sagt…
190 00:06:08,000 --> 00:06:09,000
Är representerade av ett företag.
191 00:06:09,000 --> 00:06:10,000
Som faktiskt kommer och har en lösning.
192 00:06:10,000 --> 00:06:11,000
Ja.
193 00:06:11,000 --> 00:06:12,000
Som faktiskt kommer och har en lösning.
194 00:06:12,000 --> 00:06:15,000
Det är nästan bara företag som säger.
195 00:06:15,000 --> 00:06:16,000
Ja, men det här…
196 00:06:16,000 --> 00:06:17,000
Det här är korrekt.
197 00:06:17,000 --> 00:06:18,000
Det här är ett problem.
198 00:06:18,000 --> 00:06:19,000
Köp den här.
199 00:06:19,000 --> 00:06:20,000
Men vi har den här grejen.
200 00:06:20,000 --> 00:06:21,000
Som kommer lösa problemen.
201 00:06:21,000 --> 00:06:22,000
Ja, det går bra.
202 00:06:22,000 --> 00:06:23,000
Istället för att säga.
203 00:06:23,000 --> 00:06:24,000
Okej.
204 00:06:24,000 --> 00:06:25,000
Har ni tänkt på det här.
205 00:06:25,000 --> 00:06:26,000
Att…
206 00:06:26,000 --> 00:06:27,000
Okej.
207 00:06:27,000 --> 00:06:28,000
Lösenord faktiskt är en sådan sak.
208 00:06:28,000 --> 00:06:29,000
Som folk måste bli bättre på.
209 00:06:29,000 --> 00:06:30,000
Ja.
210 00:06:30,000 --> 00:06:31,000
Ja, men det har vi hört i 30 år.
211 00:06:31,000 --> 00:06:32,000
Ja.
212 00:06:32,000 --> 00:06:33,000
Kan du hålla käften nu.
213 00:06:33,000 --> 00:06:34,000
Och prata om någonting annat.
214 00:06:34,000 --> 00:06:35,000
Ja, men det är ju så.
215 00:06:35,000 --> 00:06:36,000
Alltså det som kommer på en säkerhetsreview.
216 00:06:36,000 --> 00:06:37,000
I alla fall om jag gör.
217 00:06:37,000 --> 00:06:38,000
Så här.
218 00:06:38,000 --> 00:06:39,000
Awareness.
219 00:06:39,000 --> 00:06:40,000
Ja.
220 00:06:40,000 --> 00:06:41,000
Prata med din driftpersonal.
221 00:06:41,000 --> 00:06:42,000
Se till att de.
222 00:06:42,000 --> 00:06:43,000
Fan lever som de lär.
223 00:06:43,000 --> 00:06:44,000
Och sen så här.
224 00:06:44,000 --> 00:06:45,000
Vad.
225 00:06:45,000 --> 00:06:46,000
Vad löser ett antivirus.
226 00:06:46,000 --> 00:06:47,000
Eller vad löser en bluecoat.
227 00:06:47,000 --> 00:06:48,000
Eller vad löser en brandvägg.
228 00:06:48,000 --> 00:06:49,000
Om du inte använder den ordentligt.
229 00:06:49,000 --> 00:06:50,000
Så här.
230 00:06:50,000 --> 00:06:51,000
Det handlar ju.
231 00:06:51,000 --> 00:06:52,000
Det är ju mer om att.
232 00:06:52,000 --> 00:06:53,000
Köpa järn idag.
233 00:06:53,000 --> 00:06:54,000
Det har du rätt i.
234 00:06:54,000 --> 00:06:55,000
Produktspecifikt.
235 00:06:55,000 --> 00:06:56,000
Men det kanske inte alltid implementerats.
236 00:06:56,000 --> 00:06:57,000
Så lysande.
237 00:06:57,000 --> 00:06:58,000
För vi.
238 00:06:58,000 --> 00:06:59,000
Har brister i.
239 00:06:59,000 --> 00:07:00,000
I fundamentet.
240 00:07:00,000 --> 00:07:01,000
Som man säger.
241 00:07:01,000 --> 00:07:02,000
Ja, men jag håller med.
242 00:07:02,000 --> 00:07:03,000
Vet du vad jag tror.
243 00:07:03,000 --> 00:07:04,000
En av bristerna är.
244 00:07:04,000 --> 00:07:05,000
Det är att man inte pratar om.
245 00:07:05,000 --> 00:07:06,000
Vad produkterna inte gör för dig.
246 00:07:06,000 --> 00:07:07,000
Ja.
247 00:07:07,000 --> 00:07:08,000
Jag kan ge dig en pistol.
248 00:07:08,000 --> 00:07:09,000
Och så kommer du säga.
249 00:07:09,000 --> 00:07:10,000
Du fan jag har en pistol.
250 00:07:10,000 --> 00:07:11,000
Det är skitheftigt.
251 00:07:11,000 --> 00:07:12,000
Jag kan skjuta alla människor.
252 00:07:12,000 --> 00:07:13,000
Som ska.
253 00:07:13,000 --> 00:07:14,000
Snog mina pengar.
254 00:07:14,000 --> 00:07:15,000
Sen.
255 00:07:15,000 --> 00:07:16,000
Går du med din pistol över vägen.
256 00:07:16,000 --> 00:07:17,000
När du är påkörd av en bil.
257 00:07:17,000 --> 00:07:18,000
Då funkar din pistol inte särskilt bra.
258 00:07:18,000 --> 00:07:19,000
Eller hur.
259 00:07:19,000 --> 00:07:20,000
Nej.
260 00:07:20,000 --> 00:07:21,000
Nej.
261 00:07:21,000 --> 00:07:22,000
Och så funkar det med alla säkerhetsprodukter.
262 00:07:22,000 --> 00:07:23,000
Ja men de löser.
263 00:07:23,000 --> 00:07:24,000
Ganska mycket säkert.
264 00:07:24,000 --> 00:07:25,000
Men allt de inte löser.
265 00:07:25,000 --> 00:07:26,000
Det är faktiskt det.
266 00:07:26,000 --> 00:07:27,000
Du måste jobba mot.
267 00:07:27,000 --> 00:07:28,000
För det är mest troligt.
268 00:07:28,000 --> 00:07:29,000
Det som kommer göra att du blir hackad.
269 00:07:29,000 --> 00:07:30,000
Eller.
270 00:07:30,000 --> 00:07:31,000
Att din data kommer.
271 00:07:31,000 --> 00:07:32,000
Ja.
272 00:07:32,000 --> 00:07:33,000
Försvinna på något sätt.
273 00:07:33,000 --> 00:07:34,000
Det är som Andreas körde igår.
274 00:07:34,000 --> 00:07:35,000
Jag vet inte om du såg talket.
275 00:07:35,000 --> 00:07:36,000
Nej.
276 00:07:36,000 --> 00:07:37,000
Med mobila.
277 00:07:37,000 --> 00:07:38,000
Bredbandsrata.
278 00:07:38,000 --> 00:07:39,000
Så här.
279 00:07:39,000 --> 00:07:40,000
Det är så här.
280 00:07:40,000 --> 00:07:41,000
Den lågt hängande frukten.
281 00:07:41,000 --> 00:07:42,000
Kommer ju alltid vara det.
282 00:07:42,000 --> 00:07:43,000
Som.
283 00:07:43,000 --> 00:07:44,000
Som.
284 00:07:44,000 --> 00:07:45,000
Man går på först egentligen.
285 00:07:45,000 --> 00:07:46,000
Och.
286 00:07:46,000 --> 00:07:47,000
Så här.
287 00:07:47,000 --> 00:07:48,000
Det är inte.
288 00:07:48,000 --> 00:07:49,000
Behöver inte vara jättetekniskt egentligen.
289 00:07:49,000 --> 00:07:50,000
För att man ska.
290 00:07:50,000 --> 00:07:51,000
Kunna exploita de där grejerna.
291 00:07:51,000 --> 00:07:52,000
Fast det gör att.
292 00:07:52,000 --> 00:07:53,000
För folk har ganska mycket ursäkt.
293 00:07:53,000 --> 00:07:54,000
På varför man inte ska jobba med säkerhet också.
294 00:07:54,000 --> 00:07:55,000
Det är så här.
295 00:07:55,000 --> 00:07:56,000
Ja men.
296 00:07:56,000 --> 00:07:57,000
Tillbaka till det här med lösenord.
297 00:07:57,000 --> 00:07:58,000
Ja men folk.
298 00:07:58,000 --> 00:07:59,000
Folk vet om.
299 00:07:59,000 --> 00:08:00,000
Att det är starka lösenord.
300 00:08:00,000 --> 00:08:01,000
Eller hur.
301 00:08:01,000 --> 00:08:02,000
Det vet.
302 00:08:02,000 --> 00:08:03,000
Alla vet om det.
303 00:08:03,000 --> 00:08:04,000
Men alla kommer med det här argumentet.
304 00:08:04,000 --> 00:08:05,000
Att.
305 00:08:05,000 --> 00:08:06,000
Ja men det är för jobbigt.
306 00:08:06,000 --> 00:08:07,000
Att komma ihåg femton stycken olika lösenord.
307 00:08:07,000 --> 00:08:08,000
Som.
308 00:08:08,000 --> 00:08:09,000
Som är snor och stora bokstäver.
309 00:08:09,000 --> 00:08:10,000
Siffror och specialtecken.
310 00:08:10,000 --> 00:08:11,000
Så här.
311 00:08:11,000 --> 00:08:12,000
Men det där kommer jag aldrig komma ihåg.
312 00:08:12,000 --> 00:08:13,000
Så därför skiter jag i det.
313 00:08:13,000 --> 00:08:14,000
Ja.
314 00:08:14,000 --> 00:08:15,000
Och jag säger.
315 00:08:15,000 --> 00:08:16,000
Det där är trams.
316 00:08:16,000 --> 00:08:17,000
Det är bara att du måste tänka annorlunda.
317 00:08:17,000 --> 00:08:18,000
Jag kan ge ett tips.
318 00:08:18,000 --> 00:08:19,000
Här och nu.
319 00:08:19,000 --> 00:08:20,000
Som jag lovar att du kommer komma ihåg.
320 00:08:20,000 --> 00:08:21,000
Tjugo stycken lösenord.
321 00:08:21,000 --> 00:08:22,000
Som är både stora.
322 00:08:22,000 --> 00:08:23,000
Små bokstäver.
323 00:08:23,000 --> 00:08:24,000
Specialtecken.
324 00:08:24,000 --> 00:08:27,000
För att man har inte förstått poängen med säkert.
325 00:08:27,000 --> 00:08:28,000
Och.
326 00:08:28,000 --> 00:08:29,000
Lösenord till exempel.
327 00:08:29,000 --> 00:08:30,000
Folk.
328 00:08:30,000 --> 00:08:31,000
Vad tror du.
329 00:08:31,000 --> 00:08:32,000
Om ni nu får testa er lite.
330 00:08:32,000 --> 00:08:33,000
Vad tror ni.
331 00:08:33,000 --> 00:08:35,000
Det viktigaste med ett lösenord där.
332 00:08:35,000 --> 00:08:36,000
Längden.
333 00:08:36,000 --> 00:08:37,000
Eller vad.
334 00:08:37,000 --> 00:08:38,000
Vad tror du att.
335 00:08:38,000 --> 00:08:39,000
Att det är för någonting.
336 00:08:39,000 --> 00:08:40,000
Att det är unikt.
337 00:08:40,000 --> 00:08:41,000
Vad sa du.
338 00:08:41,000 --> 00:08:42,000
Att det är unikt skulle jag säga.
339 00:08:42,000 --> 00:08:43,000
Att det är unikt skulle du säga.
340 00:08:43,000 --> 00:08:44,000
Ja vad skulle du säga.
341 00:08:44,000 --> 00:08:45,000
Det är nog en blandning.
342 00:08:45,000 --> 00:08:46,000
Alltså det är så här.
343 00:08:46,000 --> 00:08:47,000
Längd.
344 00:08:47,000 --> 00:08:48,000
Ja.
345 00:08:48,000 --> 00:08:49,000
Om man tittar på det rent brute force mässigt.
346 00:08:49,000 --> 00:08:50,000
Så längd.
347 00:08:50,000 --> 00:08:51,000
Visst det ställer väl till lite.
348 00:08:51,000 --> 00:08:52,000
Men det beror på lite vad det innehåller.
349 00:08:52,000 --> 00:08:53,000
Det är ju en del av det som är unikt också.
350 00:08:53,000 --> 00:08:54,000
Att vi blandar lite.
351 00:08:54,000 --> 00:08:55,000
Men det får inte vara förutsägbart.
352 00:08:55,000 --> 00:08:56,000
Random heller.
353 00:08:56,000 --> 00:08:57,000
Det ska ju vara någonting som är.
354 00:08:57,000 --> 00:08:58,000
Ja men unikt.
355 00:08:58,000 --> 00:08:59,000
Så här.
356 00:08:59,000 --> 00:09:00,000
En mening skulle jag säga.
357 00:09:00,000 --> 00:09:01,000
Är ganska bra.
358 00:09:01,000 --> 00:09:02,000
Entropi.
359 00:09:02,000 --> 00:09:03,000
Ja men du ska inte ha.
360 00:09:03,000 --> 00:09:04,000
Du ska inte ha det.
361 00:09:04,000 --> 00:09:05,000
Samma lösenord på flera system.
362 00:09:05,000 --> 00:09:06,000
Nej det ska du.
363 00:09:06,000 --> 00:09:07,000
Alltså.
364 00:09:07,000 --> 00:09:08,000
Vi börjar komma någonstans nu.
365 00:09:08,000 --> 00:09:09,000
Det är just det som är grejen.
366 00:09:09,000 --> 00:09:10,000
Du kan ha ett jättelångt och jättekomplex lösenord.
367 00:09:10,000 --> 00:09:11,000
Som du snackar om.
368 00:09:11,000 --> 00:09:12,000
Entropi.
369 00:09:12,000 --> 00:09:13,000
Jag snackar om entropi.
370 00:09:13,000 --> 00:09:14,000
Entropi med min mamma.
371 00:09:14,000 --> 00:09:15,000
Tillsammans.
372 00:09:15,000 --> 00:09:16,000
Ja hej.
373 00:09:16,000 --> 00:09:17,000
Jag pratar om den.
374 00:09:22,000 --> 00:09:23,000
Ja precis som du sa.
375 00:09:23,000 --> 00:09:24,000
Det räcker ju en läcka då.
376 00:09:24,000 --> 00:09:25,000
Precis.
377 00:09:25,000 --> 00:09:26,000
Det räcker ju att en sajt.
378 00:09:26,000 --> 00:09:27,000
Blir hackad.
379 00:09:27,000 --> 00:09:28,000
Och de knäcker det där lösenordet.
380 00:09:28,000 --> 00:09:29,000
Så har de tillgång till allt annat.
381 00:09:29,000 --> 00:09:30,000
Ja.
382 00:09:30,000 --> 00:09:31,000
Och det finns.
383 00:09:31,000 --> 00:09:32,000
Det finns en källa också.
384 00:09:32,000 --> 00:09:33,000
En.
385 00:09:33,000 --> 00:09:34,000
Källa som du ska skydda.
386 00:09:34,000 --> 00:09:35,000
Extra noga.
387 00:09:35,000 --> 00:09:36,000
Vilken är det.
388 00:09:36,000 --> 00:09:37,000
Ett konto som du ska vara.
389 00:09:37,000 --> 00:09:38,000
Lite mer.
390 00:09:38,000 --> 00:09:39,000
Din mailbox.
391 00:09:39,000 --> 00:09:40,000
Där du får alla resetkoder.
392 00:09:40,000 --> 00:09:41,000
Det är ju det.
393 00:09:41,000 --> 00:09:42,000
Precis så.
394 00:09:42,000 --> 00:09:43,000
Vi som jobbar i säkerhetsbranschen.
395 00:09:43,000 --> 00:09:44,000
Vi fattar detta.
396 00:09:44,000 --> 00:09:46,000
Men pratar vi om någon som inte jobbar i säkerhetsbranschen.
397 00:09:46,000 --> 00:09:47,000
Så förstår de inte detta.
398 00:09:47,000 --> 00:09:48,000
Nej.
399 00:09:48,000 --> 00:09:49,000
Det är ju så.
400 00:09:49,000 --> 00:09:55,000
Jag förstår ju verkligen folk som bryter ihop för över de här grejerna.
401 00:09:55,000 --> 00:10:00,640
För jag kommer ihåg vissa trevliga leverantörer där till och med för att läsa publik information
402 00:10:00,640 --> 00:10:05,520
som inte kräver koppling till något kundkonto eller någonting.
403 00:10:05,520 --> 00:10:10,840
Men du måste ändå skapa en användare för att få läsa supportinformationen istället
404 00:10:10,840 --> 00:10:15,440
för att bara ha en publik webbsida där liksom här är release notesen till den här versionen
405 00:10:15,440 --> 00:10:16,440
och så vidare.
406 00:10:16,440 --> 00:10:17,440
Det handlar ju om.
407 00:10:17,440 --> 00:10:18,960
Det är ju det som jag tror är viktigt.
408 00:10:18,960 --> 00:10:22,960
När man tittar på att arbeta med säkerhet så handlar det ju om att lämna efter sig
409 00:10:22,960 --> 00:10:23,960
någonting.
410 00:10:23,960 --> 00:10:24,960
Att folk.
411 00:10:24,960 --> 00:10:25,960
Att man gör världen ett bättre ställe.
412 00:10:25,960 --> 00:10:26,960
Ja visst.
413 00:10:26,960 --> 00:10:27,960
Vårt uppdrag.
414 00:10:27,960 --> 00:10:28,960
Mångt och mycket är som du säger.
415 00:10:28,960 --> 00:10:29,960
Att göra sönder saker.
416 00:10:29,960 --> 00:10:30,960
Men vi.
417 00:10:30,960 --> 00:10:31,960
I alla fall när jag är inne i Pentest.
418 00:10:31,960 --> 00:10:32,960
Så visst.
419 00:10:32,960 --> 00:10:35,960
Det kommer en rapport och förhoppningsvis så har jag hittat saker.
420 00:10:35,960 --> 00:10:39,960
Nästa steg blir ju då åtgärdsdelarna i det hela.
421 00:10:39,960 --> 00:10:44,960
Men jag tycker att folk ska göra Pentest men jag tycker också att de som beställer Pentest
422 00:10:44,960 --> 00:10:46,960
måste också ta lite bättre ansvar till exempel.
423 00:10:46,960 --> 00:10:47,960
Att.
424 00:10:47,960 --> 00:10:51,960
Du kan till exempel låta dina anställda en gång i kvartalet ha en hackingtävling
425 00:10:51,960 --> 00:10:52,960
på företaget.
426 00:10:52,960 --> 00:10:53,960
IT-avdelningen.
427 00:10:53,960 --> 00:10:59,960
Nu vi köper pizza och lite cola och så bara hackar vi allting för att ni på IT-avdelningen
428 00:10:59,960 --> 00:11:03,960
ni vet mest roligt alla problem som finns på nätverket.
429 00:11:03,960 --> 00:11:04,960
Ni känner till dem.
430 00:11:04,960 --> 00:11:05,960
Ja.
431 00:11:05,960 --> 00:11:06,960
Ni vet vilka maskiner som inte är patchade.
432 00:11:06,960 --> 00:11:08,960
Ni vet vilka lösningar som är dåliga.
433 00:11:08,960 --> 00:11:09,960
Ni vet allt det.
434 00:11:09,960 --> 00:11:10,960
För nu är det på papper.
435 00:11:10,960 --> 00:11:11,960
Ja det är en smart aktivitet.
436 00:11:11,960 --> 00:11:12,960
Precis.
437 00:11:12,960 --> 00:11:13,960
Och de som.
438 00:11:13,960 --> 00:11:17,960
Den personen som hittar flest problem på nätverket eller dokumenterar flest problem
439 00:11:17,960 --> 00:11:21,960
på nätverket får biobiljetter eller en flaska whisky eller någonting.
440 00:11:21,960 --> 00:11:25,960
Sen då när konsultbolaget kommer in och ska göra Pentest då säger det här bolaget
441 00:11:25,960 --> 00:11:27,960
här är de sakerna vi känner till.
442 00:11:27,960 --> 00:11:28,960
Ja.
443 00:11:28,960 --> 00:11:29,960
Hitta det andra.
444 00:11:29,960 --> 00:11:30,960
Sjukt approach.
445 00:11:30,960 --> 00:11:31,960
Eller hur.
446 00:11:31,960 --> 00:11:32,960
Hitta det andra.
447 00:11:32,960 --> 00:11:33,960
Det där som vi redan känner till.
448 00:11:33,960 --> 00:11:34,960
Ja.
449 00:11:34,960 --> 00:11:35,960
Lägg inte tid på det.
450 00:11:35,960 --> 00:11:36,960
Precis.
451 00:11:36,960 --> 00:11:37,960
För vi betalar er 1500 spänn timmen.
452 00:11:37,960 --> 00:11:38,960
Ja.
453 00:11:38,960 --> 00:11:39,960
Blablabla.
454 00:11:39,960 --> 00:11:40,960
Ja.
455 00:11:40,960 --> 00:11:41,960
Skit i det där.
456 00:11:41,960 --> 00:11:42,960
Det kan vi.
457 00:11:42,960 --> 00:11:43,960
Vi kan inte ha tid att fixa det just nu.
458 00:11:43,960 --> 00:11:47,960
För det är också en sån ursäkt man har att nej men vi har inte tid att fixa problem.
459 00:11:47,960 --> 00:11:48,960
Nej.
460 00:11:48,960 --> 00:11:49,960
Jag förstår det.
461 00:11:49,960 --> 00:11:54,960
Ni har inte tid att fixa det men konsulterna behöver inte hitta samma grejer som vi redan
462 00:11:54,960 --> 00:11:55,960
känner till.
463 00:11:55,960 --> 00:11:56,960
Nej.
464 00:11:56,960 --> 00:11:57,960
Det är sant.
465 00:11:57,960 --> 00:12:01,680
Men det är också det man ser som också är ett problem idag det är att vi har ganska
466 00:12:01,680 --> 00:12:05,960
mycket vattentäta skott mellan våra olika typer av, man har identifierat att IT kanske
467 00:12:05,960 --> 00:12:10,960
är mer än bara två bokstäver så att man kanske har drift, man har nät, man har back-end,
468 00:12:10,960 --> 00:12:11,960
man har applikationssidan.
469 00:12:11,960 --> 00:12:15,960
Det är oftast väldigt täta väggar mellan dem här för de är ju, alltså det jag håller
470 00:12:15,960 --> 00:12:16,960
på med är ju.
471 00:12:16,960 --> 00:12:17,960
Det är ju inte ett team.
472 00:12:17,960 --> 00:12:18,960
Nej det är väldigt sällan.
473 00:12:18,960 --> 00:12:21,960
Nej precis det är väldigt sällan ett team och det gör ju, det skapar ju också komplexitet
474 00:12:21,960 --> 00:12:22,960
och problem.
475 00:12:22,960 --> 00:12:23,960
Ja.
476 00:12:23,960 --> 00:12:27,960
Just för att när man som säkerhets, när man pentestar så har man ju oftast inte,
477 00:12:27,960 --> 00:12:30,960
det är ju inte avdelningsspecifikt, du tar det in där du kommer in.
478 00:12:30,960 --> 00:12:34,960
Ja men sen är det också att du har ju inte kunskap om systemet så när du ska, när du
479 00:12:34,960 --> 00:12:38,960
kommer ut till kunden och ska göra ett pentest då måste du först, okej var är alla maskiner,
480 00:12:38,960 --> 00:12:43,960
hur är de uppkopplade, hur autenticerar jag, vilka entry points har jag, allt det måste
481 00:12:43,960 --> 00:12:45,960
du ju ta reda på först.
482 00:12:45,960 --> 00:12:46,960
Ja.
483 00:12:46,960 --> 00:12:48,960
Beroende på hur stor miljön är.
484 00:12:48,960 --> 00:12:49,960
Herregud ja det är ju.
485 00:12:49,960 --> 00:12:52,960
Det är ju 1500 spänn gång åtta timmar, okej då har de försvunnit.
486 00:12:52,960 --> 00:12:57,960
Istället så om dina, till exempel ett pentest, varför kan man inte göra det tillsammans
487 00:12:57,960 --> 00:12:58,960
med IT-avdelningen?
488 00:12:58,960 --> 00:13:02,960
Du har en kille med dig, varför måste det vara så att nej det ska vara helt black box,
489 00:13:02,960 --> 00:13:04,960
ni ska inte få veta någonting.
490 00:13:04,960 --> 00:13:05,960
Ja nej helt meningslöst.
491 00:13:05,960 --> 00:13:07,960
Och jag tänker fan inte berätta någonting om hur vårt nätverk ser ut.
492 00:13:07,960 --> 00:13:08,960
Nej.
493 00:13:08,960 --> 00:13:10,960
Och ni ska hacka det liksom, det blir det här att man blir inte kompisar.
494 00:13:10,960 --> 00:13:11,960
Nej.
495 00:13:11,960 --> 00:13:15,960
Nej det är där, men det är där vi försöker verkligen slå ner på det när vi jobbar.
496 00:13:15,960 --> 00:13:19,960
Vi, jag vill inte göra black box-tester, jag tycker det är meningslöst, det kostar
497 00:13:19,960 --> 00:13:20,960
för mycket pengar.
498 00:13:20,960 --> 00:13:27,960
Alltså beställningen, alltså kravet från de som beställer pentester blir så här,
499 00:13:27,960 --> 00:13:28,960
ja här har du två C-nät.
500 00:13:28,960 --> 00:13:32,960
Och då kommer vi tillbaka med en tidsektimering som är alldeles för stor.
501 00:13:32,960 --> 00:13:35,960
För det är mycket hosta som ska kollas.
502 00:13:35,960 --> 00:13:38,960
Och då säger de så här, men det här är ju alldeles för dyrt.
503 00:13:38,960 --> 00:13:39,960
Ja men vad vill ni att vi gör då?
504 00:13:39,960 --> 00:13:41,960
Jag bara, ni ska ju hacka det.
505 00:13:41,960 --> 00:13:45,960
Och så säger de så här, men du får inte skicka någon skadelig kod till oss.
506 00:13:45,960 --> 00:13:48,960
Du får inte göra spearfishing, inte okej.
507 00:13:48,960 --> 00:13:52,960
Du måste attackera dem via, över internet och det är bara de här C-näten.
508 00:13:52,960 --> 00:13:57,960
Vad ger det? Alltså den rapporten kommer inte betyda någonting.
509 00:13:57,960 --> 00:14:00,960
Det är chokladpudding i hela rapporten liksom, det är inte okej.
510 00:14:00,960 --> 00:14:06,960
Ett av mina mest absurda pentest så skulle vi testa tre system och
511 00:14:06,960 --> 00:14:10,960
efter lite förseningar så var miljöerna igång och vi kunde,
512 00:14:10,960 --> 00:14:14,960
ja hyfsat långt efter det att pentest skulle börjat så började pentestet.
513 00:14:15,960 --> 00:14:21,960
Det visade sig att två av systemen är så försenade av okänd anledning
514 00:14:21,960 --> 00:14:25,960
så att, och mycket mer försenade än vad vår kund trodde.
515 00:14:25,960 --> 00:14:32,960
Så att de var ju direkta mockups, det var ju bara ett guje med ingen funktionalitet bakom.
516 00:14:32,960 --> 00:14:39,960
Men det är också, det är väl story för alla stora organisationer ibland att tidspress är dum.
517 00:14:39,960 --> 00:14:42,960
Men ja, hur som helst. Men för att knyta tillbaka till detta.
518 00:14:42,960 --> 00:14:44,960
Vad tror vi då? Hur gör vi?
519 00:14:45,960 --> 00:14:47,960
Hur får vi traction för en rörelse?
520 00:14:47,960 --> 00:14:53,960
Att prata i podcast och att sprida sina budskap via bloggar, konferenser.
521 00:14:53,960 --> 00:14:56,960
Vad har vi mer för initiativ? Vad tror vi liksom? Vad är bra?
522 00:14:56,960 --> 00:14:59,960
Jag tror helt enkelt att man ska börja bjuda in företagen.
523 00:14:59,960 --> 00:15:05,960
Alltså folk tror att du måste vara extremt säkerhetsexpert för att kunna ta i det här och prata om det över huvud taget.
524 00:15:05,960 --> 00:15:12,960
Du måste liksom ha jobbat med pentesting, exploitutveckling i 20 år annars har du inga creds i scenen liksom.
525 00:15:12,960 --> 00:15:14,960
Men jag tycker det är fel för att det finns väldigt många som jobbar ute på företaget.
526 00:15:15,960 --> 00:15:21,960
Som har sjukt bra idéer, som vet hur man kan fixa grejer, som har fixat grejer liksom.
527 00:15:21,960 --> 00:15:25,960
Som faktiskt har byggt säkerhet. De måste vi kunna bjuda in och prata med.
528 00:15:25,960 --> 00:15:27,960
Så de måste också bli delaktiga i det här.
529 00:15:27,960 --> 00:15:32,960
Det kan inte bara vara så att vi samlar Sveriges elit av säkerhetshackers.
530 00:15:32,960 --> 00:15:35,960
Och så ska de prata och så här.
531 00:15:35,960 --> 00:15:37,960
Det håller liksom inte.
532 00:15:37,960 --> 00:15:43,960
Om du verkligen vill förändra grejer så är det ju inte du som faktiskt kan säkerhet som behöver ändra det.
533 00:15:43,960 --> 00:15:45,960
Utan det är de som inte kan säkerhet som måste ändra det.
534 00:15:45,960 --> 00:15:58,960
En utmaning där är ju hur gör man ett sexigt intressant talk om hur man rättar kod eller hur man fixar kodprojekt.
535 00:15:58,960 --> 00:16:00,960
Men du ska inte göra det.
536 00:16:00,960 --> 00:16:02,960
Det är det som är hela grejen.
537 00:16:02,960 --> 00:16:04,960
Du ska inte prata om hur du fixar kod för en människa som inte kan koda.
538 00:16:04,960 --> 00:16:06,960
För han kommer inte fatta det du pratar om.
539 00:16:06,960 --> 00:16:08,960
Du ska prata om vad är själva impacten.
540 00:16:08,960 --> 00:16:10,960
Vad är det som händer om koden inte funkar.
541 00:16:10,960 --> 00:16:12,960
Hur koden inte funkar spelar ingen roll.
542 00:16:12,960 --> 00:16:14,960
Det kan vi prata om. Det tycker vi är kul.
543 00:16:14,960 --> 00:16:17,960
Men att de bara säger okej koden funkar inte.
544 00:16:17,960 --> 00:16:21,960
Hur ska jag förhindra att någonting händer om koden inte funkar.
545 00:16:21,960 --> 00:16:23,960
Jo någon kan exekvera kommando kan man säga då.
546 00:16:23,960 --> 00:16:25,960
Okej men vad betyder det att exekvera kommando.
547 00:16:25,960 --> 00:16:27,960
Ja okej du kan köra saker.
548 00:16:27,960 --> 00:16:29,960
Man måste förklara det på så låg nivå.
549 00:16:29,960 --> 00:16:31,960
Att det handlar om.
550 00:16:31,960 --> 00:16:34,960
Jag hittar inte ett bra ord för det.
551 00:16:34,960 --> 00:16:38,960
Själva impacten av sårbarheten är det du ska diskutera.
552 00:16:38,960 --> 00:16:40,960
Inte den tekniska sårbarheten i sig.
553 00:16:40,960 --> 00:16:43,960
Nej för mottagaren kommer förmodligen inte kunna ta hand om det.
554 00:16:43,960 --> 00:16:46,960
Nej men det låter rimligt.
555 00:16:46,960 --> 00:16:48,960
Men som säkerhetsansvarig på ett företag.
556 00:16:48,960 --> 00:16:50,960
Så tror många också att okej.
557 00:16:50,960 --> 00:16:53,960
Om jag jobbar som systemadministratör.
558 00:16:53,960 --> 00:16:55,960
Så vill jag veta hur en hacker tänker.
559 00:16:55,960 --> 00:16:58,960
Jag vill veta vad en buffer overflow är.
560 00:16:58,960 --> 00:16:59,960
Vad en format string attack är.
561 00:16:59,960 --> 00:17:01,960
Vad SQL injection är.
562 00:17:01,960 --> 00:17:04,960
Jag håller inte alls med om du är som systemadministratör.
563 00:17:04,960 --> 00:17:06,960
Så ska du vara duktig och fixa system.
564 00:17:06,960 --> 00:17:09,960
Du är inte den personen som kommer skriva om koden.
565 00:17:09,960 --> 00:17:12,960
Om det finns en buffer overflow i något program eller hur.
566 00:17:12,960 --> 00:17:13,960
Det är det ju inte.
567 00:17:13,960 --> 00:17:16,960
Du ska förstå hur nätverket är uppbyggt.
568 00:17:16,960 --> 00:17:18,960
Nu är det segmentering, autentisering, loggning.
569 00:17:18,960 --> 00:17:20,960
Du ska förstå allt det där.
570 00:17:20,960 --> 00:17:24,960
Inte att okej nu finns det en heap overflow i sendemail.
571 00:17:24,960 --> 00:17:26,960
Ja okej.
572 00:17:26,960 --> 00:17:27,960
Strunta i det.
573 00:17:27,960 --> 00:17:30,960
Utgå från att det finns problem i koden.
574 00:17:30,960 --> 00:17:32,960
Och konfigurera ditt nätverk utöver det.
575 00:17:32,960 --> 00:17:35,960
Så att om någon utnyttjar någon potentiell sårbarhet.
576 00:17:35,960 --> 00:17:37,960
I någon tjänst.
577 00:17:37,960 --> 00:17:41,960
Så ska han inte kunna ta dig överallt.
578 00:17:41,960 --> 00:17:43,960
Eller hen den politiskt korrekt.
579 00:17:43,960 --> 00:17:44,960
Absolut.
580 00:17:44,960 --> 00:17:45,960
Hen.
581 00:17:45,960 --> 00:17:46,960
Hacker hen.
582 00:17:46,960 --> 00:17:47,960
Hacker hen.
583 00:17:47,960 --> 00:17:49,960
För att du inte ska kunna ta sig.
584 00:17:49,960 --> 00:17:50,960
Men ni fattar poängen liksom.
585 00:17:50,960 --> 00:17:52,960
Vi tänker ju helt fel.
586 00:17:52,960 --> 00:17:55,960
Men alla systemadministratörer vill ju åka på Black Hat och Defcon.
587 00:17:55,960 --> 00:17:57,960
För det är kul och häftigt.
588 00:17:57,960 --> 00:18:00,960
Ja men gör det som en klapp på axeln för att man har gjort ett bra jobb.
589 00:18:00,960 --> 00:18:02,960
Men åk inte dit för att du tror att du ska lära dig.
590 00:18:02,960 --> 00:18:03,960
Nej.
591 00:18:03,960 --> 00:18:05,960
Nej det är ju bara.
592 00:18:05,960 --> 00:18:06,960
Det ger dig uppslag kanske.
593 00:18:06,960 --> 00:18:08,960
Det är på bäst mål i fest.
594 00:18:08,960 --> 00:18:09,960
Det är ju det du gör.
595 00:18:09,960 --> 00:18:10,960
Men det är.
596 00:18:10,960 --> 00:18:11,960
Ja.
597 00:18:11,960 --> 00:18:15,960
Det bästa är ju faktiskt att prata med någon annan som jobbar med samma sak som dig.
598 00:18:15,960 --> 00:18:16,960
Och kolla hur de har lösning.
599 00:18:16,960 --> 00:18:17,960
Istället för att.
600 00:18:17,960 --> 00:18:18,960
Inte istället men.
601 00:18:18,960 --> 00:18:20,960
Också att man gör det.
602 00:18:20,960 --> 00:18:22,960
Än att man bara åker till Black Hat och Defcon.
603 00:18:22,960 --> 00:18:23,960
Ja.
604 00:18:23,960 --> 00:18:24,960
Ja men coolt.
605 00:18:24,960 --> 00:18:25,960
Jag tror att vi rundar av här.
606 00:18:25,960 --> 00:18:26,960
Jag tror också.
607 00:18:26,960 --> 00:18:27,960
Ja.
608 00:18:27,960 --> 00:18:28,960
Vi slingar lite in.
609 00:18:28,960 --> 00:18:29,960
Ja.
610 00:18:29,960 --> 00:18:30,960
Tusen tack för att du ville vara här.
611 00:18:30,960 --> 00:18:31,960
Ja tack själv.
612 00:18:31,960 --> 00:18:32,960
Coolt.