Säkerhetspodcasten avs.133 – Vi reder ut begreppen
Lyssna
Innehåll
I dagens avsnitt åtar sig Rikard, Mattias och Johan den obekväma uppgiften att reda ut vad som faktiskt menas med olika IT-säkerhetsrelaterade ord och fraser. Vad skiljer tillexempel ett penetrationstest från en sårbarhetsanalys eller en säkerhetsscan?
Inspelat: 2018-07-11. Längd: 00:49:29.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:29,980
Svensktextning.nu
2 00:00:30,020 --> 00:00:32,180
Om du inte är i Tokyo eller Alpen, att det där är dom.
3 00:00:33,780 --> 00:00:35,240
Eller var, när vi spelar in.
4 00:00:35,320 --> 00:00:35,900
Ja, precis.
5 00:00:38,020 --> 00:00:39,460
Man kan ju vara där.
6 00:00:41,420 --> 00:00:43,440
Sponsrade idag är vi som vanligt av Shored.
7 00:00:43,540 --> 00:00:44,880
Läs mer om dom på shored.se
8 00:00:44,880 --> 00:00:46,520
och av Bordfors Consulting.
9 00:00:46,740 --> 00:00:49,220
Läs mer om dom på Bordfors.se
10 00:00:49,220 --> 00:00:50,320
Bordfors med två S.
11 00:00:50,560 --> 00:00:50,960
Stämmer.
12 00:00:51,780 --> 00:00:54,020
Jag tänkte så här, det är lite temaavsnitt
13 00:00:54,640 --> 00:00:57,260
och vi kan väl se det här som en liten
14 00:00:57,260 --> 00:00:59,400
utbildningssession, tänker jag.
15 00:00:59,400 --> 00:01:00,460
Ja, och utbildning
16 00:01:00,460 --> 00:01:01,480
slash rant
17 00:01:01,480 --> 00:01:04,180
slash reda ut begrepp.
18 00:01:04,720 --> 00:01:06,160
Nu jävlar sätter vi ner foten.
19 00:01:06,260 --> 00:01:07,060
Ja, men lite så.
20 00:01:08,320 --> 00:01:10,560
Det här är en grej som jag har
21 00:01:10,560 --> 00:01:11,640
ska man säga
22 00:01:11,640 --> 00:01:14,300
retat mig på
23 00:01:14,300 --> 00:01:16,900
under lång tid
24 00:01:16,900 --> 00:01:19,320
som säkerhetskonsult
25 00:01:19,320 --> 00:01:20,580
och även
26 00:01:20,580 --> 00:01:22,040
i viss mån
27 00:01:22,040 --> 00:01:24,140
när jag var på inköpssidan
28 00:01:24,140 --> 00:01:26,420
som IT-chef
29 00:01:26,420 --> 00:01:28,180
på en kommunalförvaltning.
30 00:01:28,180 --> 00:01:30,780
Och det är
31 00:01:30,780 --> 00:01:33,760
när man köper
32 00:01:33,760 --> 00:01:36,420
en säkerhetstjänst
33 00:01:36,420 --> 00:01:37,900
vad är det man beställer
34 00:01:37,900 --> 00:01:39,840
och vad är det man får?
35 00:01:40,740 --> 00:01:41,760
Och här råder det
36 00:01:41,760 --> 00:01:43,620
en extrem förvirring
37 00:01:43,620 --> 00:01:44,740
i branschen.
38 00:01:45,460 --> 00:01:47,720
Och det jag tänker på, det är ord som
39 00:01:47,720 --> 00:01:50,240
pentest, det är
40 00:01:50,240 --> 00:01:52,140
sårbarhetsscan, det är
41 00:01:52,140 --> 00:01:53,560
säkerhetsreviewer
42 00:01:53,560 --> 00:01:56,620
och det är sårbarhetsanalyser.
43 00:01:57,160 --> 00:01:58,160
Massa sådana här
44 00:01:58,180 --> 00:01:59,680
ord som flyger i luften.
45 00:01:59,680 --> 00:02:00,840
Jag tänker att
46 00:02:00,840 --> 00:02:03,660
ska vi börja med att
47 00:02:03,660 --> 00:02:05,760
sätta ett ramverk för
48 00:02:05,760 --> 00:02:06,840
vad är det här?
49 00:02:07,440 --> 00:02:09,540
Och vad kan man förvänta sig som kund
50 00:02:09,540 --> 00:02:10,740
när man beställer någonting?
51 00:02:11,160 --> 00:02:13,220
Och vad ska man göra när man inte får det?
52 00:02:13,700 --> 00:02:15,560
Anledningen till att jag känner att jag vill ta upp det
53 00:02:15,560 --> 00:02:17,420
är att jag
54 00:02:17,420 --> 00:02:19,920
i många fall kommit till kunder
55 00:02:19,920 --> 00:02:21,680
eller på uppdrag av kunder
56 00:02:21,680 --> 00:02:23,520
skulle att granska en
57 00:02:23,520 --> 00:02:25,480
potentiell leverantör
58 00:02:25,480 --> 00:02:27,680
när de säger att jo, vi har blivit pentestade.
59 00:02:28,180 --> 00:02:30,260
Jaha, tack. Får vi se den här
60 00:02:30,260 --> 00:02:32,260
rapporten? Ofta så får man inte det
61 00:02:32,260 --> 00:02:34,240
eller så är det någon kund
62 00:02:34,240 --> 00:02:36,040
som har gjort det på dem
63 00:02:36,040 --> 00:02:37,560
och de har inte tillgång till den.
64 00:02:38,220 --> 00:02:40,140
Men i några fall så får man
65 00:02:40,140 --> 00:02:42,340
se den. Och så får man
66 00:02:42,340 --> 00:02:44,220
en automatgenererad
67 00:02:44,220 --> 00:02:45,480
rapport från Nessus.
68 00:02:46,260 --> 00:02:47,740
Och då suckar jag lite.
69 00:02:49,060 --> 00:02:50,060
Nessus does not
70 00:02:50,060 --> 00:02:51,060
equal a pentest.
71 00:02:51,740 --> 00:02:54,020
En svår fråga tycker jag är här.
72 00:02:55,020 --> 00:02:56,560
Kan vi ens
73 00:02:57,300 --> 00:02:58,160
bestämma det här?
74 00:02:58,180 --> 00:02:59,840
Ja, men någon måste göra det.
75 00:03:00,380 --> 00:03:02,500
Men det är inte så att vi har någon jävla ISO-standard.
76 00:03:02,640 --> 00:03:04,700
Ska vi inte skapa det?
77 00:03:04,700 --> 00:03:05,760
Jo, det gör vi nu.
78 00:03:05,940 --> 00:03:08,320
Det är ändå tre sökerhetskonsulter
79 00:03:08,320 --> 00:03:09,500
med många års erfarenhet.
80 00:03:10,020 --> 00:03:11,660
Vi kan ju säga vad vi tycker.
81 00:03:11,800 --> 00:03:13,620
För jag vet att det här är nämligen regionala skillnader också.
82 00:03:13,840 --> 00:03:15,780
Jo, men nu lyssnar man på det här
83 00:03:15,780 --> 00:03:17,400
och det gör man för att man vill veta vad vi tycker.
84 00:03:19,280 --> 00:03:21,340
Är det därför folk lyssnar på oss?
85 00:03:21,340 --> 00:03:22,280
Ja, Mattias.
86 00:03:22,340 --> 00:03:24,180
Jag är nyfiken på de här regionala skillnaderna.
87 00:03:24,480 --> 00:03:26,100
Annars kan vi läsa en ISO-standard
88 00:03:26,100 --> 00:03:27,300
men det blir en jättetråkig podcast.
89 00:03:28,180 --> 00:03:33,160
Det känns som att ordet pentest
90 00:03:33,160 --> 00:03:35,580
har inte använts speciellt mycket i Sverige
91 00:03:35,580 --> 00:03:37,480
än till för kanske två år sedan.
92 00:03:38,160 --> 00:03:39,360
Nu har det kommit mer och mer
93 00:03:39,360 --> 00:03:40,720
men pentest användes inte förut.
94 00:03:40,780 --> 00:03:43,440
Däremot var det ganska vanligt att man använde det i USA till exempel.
95 00:03:45,760 --> 00:03:47,480
För mig är det ju
96 00:03:47,480 --> 00:03:50,360
det här inte så här superkomplicerat.
97 00:03:51,300 --> 00:03:52,300
Pentest, vad betyder det?
98 00:03:53,120 --> 00:03:54,120
Penetration test.
99 00:03:54,620 --> 00:03:55,400
Det är ett test.
100 00:03:56,020 --> 00:03:57,440
För att se ifall du kan penetrera.
101 00:03:58,180 --> 00:03:59,800
Sen är det ju så här.
102 00:04:00,160 --> 00:04:03,240
Ett pentest kan ju vara på en webbfront
103 00:04:03,240 --> 00:04:05,020
och det kan vara på ett helt företag.
104 00:04:05,180 --> 00:04:06,760
Och det kan vara på väldigt olika skog.
105 00:04:06,760 --> 00:04:08,400
På infrastruktur eller vad du vill.
106 00:04:09,020 --> 00:04:12,180
Men det är väl den stora
107 00:04:12,180 --> 00:04:14,920
sammanblandningen där
108 00:04:14,920 --> 00:04:16,220
som vi oftast råkar utföra
109 00:04:16,220 --> 00:04:17,220
är ju den som du just beskrev.
110 00:04:17,320 --> 00:04:18,760
Skillnaden mellan vad är pentest
111 00:04:18,760 --> 00:04:20,120
och vad är en sågbarhetsscan.
112 00:04:20,860 --> 00:04:23,180
Men där menar jag att det finns
113 00:04:23,180 --> 00:04:24,340
det finns nog
114 00:04:24,340 --> 00:04:26,760
så att säga bubblor i vilket
115 00:04:26,760 --> 00:04:27,880
ett pentest är.
116 00:04:28,180 --> 00:04:29,340
Ja men det är ju fel.
117 00:04:30,220 --> 00:04:32,260
Däremot kan en sågbarhetsscan ingå i ett pentest.
118 00:04:32,420 --> 00:04:33,640
Jag har även till exempel sett
119 00:04:33,640 --> 00:04:35,340
Men inte åt andra hållet.
120 00:04:35,460 --> 00:04:36,800
Jag har även till exempel sett att
121 00:04:36,800 --> 00:04:40,020
ett pentest är mer sån här red team.
122 00:04:40,520 --> 00:04:41,860
Det vill säga det finns ett mål.
123 00:04:41,920 --> 00:04:44,400
Lite capture the flag. Det finns ett mål. Har du tagit den så är du färdig.
124 00:04:44,940 --> 00:04:45,600
Men alltså jag tycker
125 00:04:45,600 --> 00:04:47,360
om vi nuanserar det här lite då.
126 00:04:47,500 --> 00:04:50,080
En sårbarhetsanalys är mycket bredare.
127 00:04:50,220 --> 00:04:52,360
Den ska hitta typ så många sårbarheter som möjligt.
128 00:04:53,460 --> 00:04:55,340
Och kanske inte gräva så långt på djupet.
129 00:04:55,740 --> 00:04:56,440
Kanske inte.
130 00:04:56,860 --> 00:04:57,940
Däremot så tycker jag att det är
131 00:04:57,940 --> 00:04:59,020
ett lite missvisande ord.
132 00:04:59,140 --> 00:05:02,040
För sårbarhetsanalys låter som att du analyserar
133 00:05:02,040 --> 00:05:03,040
en specifik sårbarhet.
134 00:05:03,360 --> 00:05:04,120
Ja det var det jag var med om.
135 00:05:05,200 --> 00:05:07,140
Då är säkerhetsreview kanske ett bättre ord.
136 00:05:07,220 --> 00:05:08,740
Fast det betyder inte samma sak.
137 00:05:09,500 --> 00:05:09,740
Nej.
138 00:05:11,800 --> 00:05:14,040
Men ja så man kan ju förstå här
139 00:05:14,040 --> 00:05:15,580
varför det uppstår en viss förvirring.
140 00:05:16,400 --> 00:05:17,760
Jag tar tillbaka det jag sa förut.
141 00:05:17,800 --> 00:05:18,580
Att det här är enkelt.
142 00:05:18,680 --> 00:05:20,040
Jag tror inte att det är enkelt.
143 00:05:20,280 --> 00:05:22,900
För jag tror att vi kan nog sitta här och ha
144 00:05:22,900 --> 00:05:24,980
meningsskiljaktigheter
145 00:05:24,980 --> 00:05:27,920
bara inibland oss här.
146 00:05:27,940 --> 00:05:29,940
Vad är en säkerhetsreview?
147 00:05:31,100 --> 00:05:32,300
Och vad är en teknisk säkerhetsreview?
148 00:05:32,320 --> 00:05:33,920
Men sårbarhetsscan, där är vi överens.
149 00:05:34,100 --> 00:05:35,060
Sårbarhetsscan, ja.
150 00:05:35,180 --> 00:05:37,600
Skicka ett verktyg mot din perimeter.
151 00:05:37,900 --> 00:05:40,380
Automatiserad verktyg gör en scan av något slag.
152 00:05:41,440 --> 00:05:42,920
Du får en rapport.
153 00:05:43,200 --> 00:05:43,460
Precis.
154 00:05:43,760 --> 00:05:45,340
Och det jag framförallt vänder mig mot
155 00:05:45,340 --> 00:05:48,020
det är ju när ett företag
156 00:05:48,020 --> 00:05:50,320
ohederligt
157 00:05:50,320 --> 00:05:52,040
eller med
158 00:05:52,040 --> 00:05:52,760
brottmord
159 00:05:52,760 --> 00:05:55,020
säljer en
160 00:05:55,020 --> 00:05:57,020
en automatgenerad rapport.
161 00:05:57,940 --> 00:05:59,940
Från ett verktyg som
162 00:05:59,940 --> 00:06:01,840
något förädlat.
163 00:06:02,160 --> 00:06:03,280
Man skulle kunna säga så här också.
164 00:06:03,560 --> 00:06:05,900
Att vara penetrationstestare
165 00:06:05,900 --> 00:06:06,940
är ett yrke.
166 00:06:07,140 --> 00:06:10,020
Det är självklart inte någon form av skyddat titel.
167 00:06:10,160 --> 00:06:11,560
Men det är en yrkesroll.
168 00:06:11,960 --> 00:06:13,540
Du kan vara penetrationstestare.
169 00:06:14,100 --> 00:06:16,200
Du kan inte personligen vara en sårbarhetsscanner.
170 00:06:19,700 --> 00:06:21,240
Det ligger någonting i det.
171 00:06:21,820 --> 00:06:22,840
Att då sälja
172 00:06:22,840 --> 00:06:24,260
från en sårbarhetsscanner.
173 00:06:24,260 --> 00:06:25,960
Du ger dig på en hel yrkeskategori nu.
174 00:06:25,960 --> 00:06:27,920
Att då sälja en sårbarhetsscanner.
175 00:06:27,940 --> 00:06:31,700
Som en penetrationstestare har gjort.
176 00:06:31,840 --> 00:06:32,800
Det är inte samma sak.
177 00:06:32,820 --> 00:06:34,180
Det ska jag ha på mitt visitskort.
178 00:06:34,260 --> 00:06:35,400
Jag ska vara sårbarhetsscanner.
179 00:06:35,400 --> 00:06:36,400
Manuell sårbarhetsscanner.
180 00:06:37,020 --> 00:06:39,540
Det jag tänker är framförallt
181 00:06:39,540 --> 00:06:41,860
om man tar en skillnad
182 00:06:41,860 --> 00:06:44,080
mellan sårbarhetsanalys och en sårbarhetsscan.
183 00:06:44,240 --> 00:06:46,600
En sårbarhetsscan kan Nessus göra åt dig.
184 00:06:46,660 --> 00:06:48,680
Eller något annat lämpligt verktyg.
185 00:06:49,060 --> 00:06:50,200
Det kräver viss kompetens dock
186 00:06:50,200 --> 00:06:51,100
för att ställa in Nessus.
187 00:06:51,180 --> 00:06:52,840
Den pekar på rätt ställe och med rätt parametrar.
188 00:06:52,900 --> 00:06:55,940
Vi ska inte snacka ner folk som gör sårbarhetsscanner.
189 00:06:55,940 --> 00:06:57,700
Det finns absolut ett värde.
190 00:06:57,940 --> 00:06:58,660
I att ha sårbarhetsscanner.
191 00:07:00,000 --> 00:07:02,140
Nessus kan sänka system också.
192 00:07:03,380 --> 00:07:05,260
Då hittar du trasigheter också.
193 00:07:06,100 --> 00:07:07,960
Men det jag menar är att
194 00:07:07,960 --> 00:07:10,040
en rapport från Nessus
195 00:07:10,040 --> 00:07:13,180
måste gå sig igenom.
196 00:07:13,240 --> 00:07:14,100
Den måste analyseras.
197 00:07:14,820 --> 00:07:16,420
Det är en startpunkt.
198 00:07:16,580 --> 00:07:17,380
Du börjar med något.
199 00:07:17,520 --> 00:07:18,480
Det är ett råmaterial.
200 00:07:19,460 --> 00:07:21,640
Du kan gå in och titta på den.
201 00:07:21,780 --> 00:07:24,380
Så kan du gå in och kvalificera
202 00:07:24,380 --> 00:07:26,620
de saker som Nessus eventuellt har hittat.
203 00:07:26,820 --> 00:07:27,400
Och testa.
204 00:07:27,940 --> 00:07:29,740
Kanske göra någon proof of concept
205 00:07:29,740 --> 00:07:30,860
eller motsvarande för att se.
206 00:07:31,280 --> 00:07:32,340
Är det verkligen så?
207 00:07:32,480 --> 00:07:35,080
Eller om du inte vill peta på systemet
208 00:07:35,080 --> 00:07:35,900
så att det går sönder.
209 00:07:36,160 --> 00:07:37,100
Gå in och titta.
210 00:07:37,200 --> 00:07:39,300
Vad är det för några libbar som är laddade?
211 00:07:39,580 --> 00:07:42,580
Det är typ en miljard folk positivt.
212 00:07:43,020 --> 00:07:44,080
Låt säga att du använder
213 00:07:44,080 --> 00:07:46,020
om vi får gå bort från Nessus
214 00:07:46,020 --> 00:07:47,000
som det enda exemplet.
215 00:07:48,160 --> 00:07:49,340
Om vi använder exempelvis
216 00:07:49,340 --> 00:07:51,640
Burp som är industristandard
217 00:07:51,640 --> 00:07:53,520
för alla som jobbar med webbpenetronstestning.
218 00:07:54,080 --> 00:07:55,700
Om de inte använder WhatsApp.
219 00:07:56,860 --> 00:07:57,920
Och gör de det så har den också.
220 00:07:57,940 --> 00:07:59,580
En scannermotor så att båda fungerar.
221 00:07:59,720 --> 00:08:00,320
För det här exemplet.
222 00:08:01,060 --> 00:08:03,560
Där kan du också köra en sårbarhetsscanner.
223 00:08:03,900 --> 00:08:06,180
Den är ju…
224 00:08:06,180 --> 00:08:07,780
Försöker göra en massa olika saker.
225 00:08:07,880 --> 00:08:09,860
Skicka olika input och analysera resultaten.
226 00:08:09,980 --> 00:08:11,920
För att se om det finns några sårbarheter.
227 00:08:12,280 --> 00:08:13,520
Men det är ju…
228 00:08:13,520 --> 00:08:17,960
Du kan inte skanna den här sajten.
229 00:08:18,120 --> 00:08:19,280
Trycka ut det som är rapport.
230 00:08:19,360 --> 00:08:20,300
Och kalla det för ett pentest.
231 00:08:20,440 --> 00:08:22,660
Det är en starting point.
232 00:08:22,900 --> 00:08:23,960
Du bör inte göra det.
233 00:08:23,960 --> 00:08:25,080
Du kan göra det.
234 00:08:25,160 --> 00:08:26,940
Men det kommer vara fullständigt oläsbart.
235 00:08:27,060 --> 00:08:27,600
För någon annan.
236 00:08:27,940 --> 00:08:29,060
En pentetronstestare förmodligen.
237 00:08:29,840 --> 00:08:33,100
Framförallt från output från exempelvis Burp.
238 00:08:33,340 --> 00:08:35,140
För att det kommer vara på samma sätt som en nest.
239 00:08:35,240 --> 00:08:36,180
Massa false positives.
240 00:08:36,580 --> 00:08:37,960
Massa irrelevanta grejer.
241 00:08:38,860 --> 00:08:41,520
Och det som man kan använda det för som pentetronstestare.
242 00:08:41,660 --> 00:08:42,800
Är för att se framförallt då.
243 00:08:42,860 --> 00:08:44,740
Om man har konfigurerat den rätt.
244 00:08:44,880 --> 00:08:47,320
Men här finns det märkliga saker.
245 00:08:48,040 --> 00:08:49,520
Den här testar massa konstiga saker.
246 00:08:50,180 --> 00:08:51,100
Skickar massa input.
247 00:08:51,220 --> 00:08:52,260
Här finns det märkligheter.
248 00:08:52,260 --> 00:08:53,240
Här borde jag titta närmare.
249 00:08:53,760 --> 00:08:56,180
Det är ju ett insteg i en pentetronstest.
250 00:08:56,520 --> 00:08:57,260
Jag vill bara…
251 00:08:57,940 --> 00:08:58,980
Jag tar upp som ett exempel.
252 00:08:59,460 --> 00:09:02,080
Mattias var inne och nämnde det här med false positives.
253 00:09:02,660 --> 00:09:04,820
Jag såg en rapport från ett företag.
254 00:09:04,880 --> 00:09:06,260
Som säljer det här som tjänst.
255 00:09:06,340 --> 00:09:08,320
Och det är en PCI-tjänst.
256 00:09:08,680 --> 00:09:11,660
Så du ska kunna skriva ut den här rapporten.
257 00:09:11,800 --> 00:09:12,580
Krita på den.
258 00:09:12,640 --> 00:09:15,140
Och skicka in den som en PCI-scan.
259 00:09:16,000 --> 00:09:18,800
Jag kräktes lite i munnen.
260 00:09:18,980 --> 00:09:19,940
När jag såg den.
261 00:09:19,940 --> 00:09:24,820
För det första så låg kundens infra bakom Cloudflare.
262 00:09:25,020 --> 00:09:27,440
Vilket gjorde att så fort du försökte.
263 00:09:27,940 --> 00:09:35,420
Med ett antal sådana här klassiska URL till CMS-guin.
264 00:09:35,560 --> 00:09:36,660
Typ admin-interface.
265 00:09:36,680 --> 00:09:38,400
VP-admin och klassiskt.
266 00:09:39,140 --> 00:09:43,540
Så svarade Cloudflare med att den finns men du får inte komma åt den.
267 00:09:43,700 --> 00:09:45,500
Aha! Information disclosure.
268 00:09:48,220 --> 00:09:49,420
Och det är sådär bara.
269 00:09:50,120 --> 00:09:52,280
Nej, den finns inte.
270 00:09:52,860 --> 00:09:54,920
Nu har det tagit sig att jag har satt med Nessus.
271 00:09:55,060 --> 00:09:57,180
Men jag minns att det finns den här checkboxen.
272 00:09:57,180 --> 00:09:58,300
Men du kan checka i.
273 00:09:58,380 --> 00:10:01,460
Vill du att den här scannen ska vara PCI-DSS-compliant eller inte?
274 00:10:05,460 --> 00:10:06,680
Jag blir så trött.
275 00:10:06,860 --> 00:10:10,600
Och det innebär att det inte ens är en människa som har tittat på den.
276 00:10:10,960 --> 00:10:13,760
Och sorterat bort sådant som uppenbart är skit.
277 00:10:13,920 --> 00:10:17,500
Och frågan är fan om inte en stor del av det här kommer från just PCI.
278 00:10:17,680 --> 00:10:25,280
Alltså den här floran av företag som säljer scanningar som pentester och så vidare.
279 00:10:25,280 --> 00:10:26,280
Som egentligen säljer…
280 00:10:27,180 --> 00:10:28,520
Glorifierade Nessus-rapporter.
281 00:10:28,840 --> 00:10:32,560
För att PCI har haft det här som krav så länge.
282 00:10:33,060 --> 00:10:36,280
Att jag tror att det är därifrån mycket av den här marknaden kan ha kommit från början.
283 00:10:36,280 --> 00:10:39,520
Att du ska ha en external party verification.
284 00:10:40,020 --> 00:10:41,680
Ja, det har vi. Här är rapporten.
285 00:10:41,860 --> 00:10:43,040
Har någon läst den? Nej.
286 00:10:43,520 --> 00:10:47,340
Och sen har de här orden konfabulerats över tid.
287 00:10:47,480 --> 00:10:47,820
Vad har de?
288 00:10:48,660 --> 00:10:49,060
Konfabulerats.
289 00:10:50,160 --> 00:10:52,360
Det är ett fantastiskt ord som betyder att man blandar ihop saker.
290 00:10:52,740 --> 00:10:52,800
Aha.
291 00:10:54,660 --> 00:10:56,220
Ja, men jag vill säga.
292 00:10:56,220 --> 00:10:59,460
Lagdriven säkerhet eller lagdriven kravarbete.
293 00:10:59,640 --> 00:11:01,120
Det är ju sällan så här superbra.
294 00:11:01,240 --> 00:11:04,240
För det är som du säger. Mottagaren skiter egentligen i resultatet.
295 00:11:04,280 --> 00:11:05,120
Det ska bara göras.
296 00:11:05,260 --> 00:11:06,500
Bygga en papperstrake liksom.
297 00:11:07,560 --> 00:11:11,520
Samtidigt så kan jag hävda att kundens försvarstal i det här.
298 00:11:11,700 --> 00:11:13,100
Jag frågade, har ni läst den här?
299 00:11:13,700 --> 00:11:14,060
Nej.
300 00:11:15,360 --> 00:11:17,020
Tror ni att de som har skickat den har läst den?
301 00:11:17,920 --> 00:11:18,560
Kanske inte.
302 00:11:19,660 --> 00:11:20,440
Varför har ni den?
303 00:11:20,900 --> 00:11:22,300
Ja, fast den är inte så dyr.
304 00:11:22,300 --> 00:11:23,340
Nej, släpp.
305 00:11:23,880 --> 00:11:26,120
Farrar jag så kunde jag då köpa grejer i fältet.
306 00:11:26,220 --> 00:11:28,940
Så här, den är inte så dyr.
307 00:11:29,260 --> 00:11:30,140
Har ni använt den?
308 00:11:30,300 --> 00:11:30,540
Nej.
309 00:11:32,940 --> 00:11:33,740
Den är bra ändå.
310 00:11:34,240 --> 00:11:35,780
Så kanske är man i fel bransch.
311 00:11:36,400 --> 00:11:38,660
Ja, men det är lite så känns det ju.
312 00:11:38,700 --> 00:11:40,860
Men grejen är att det är viktigt att ha med sig också.
313 00:11:42,160 --> 00:11:44,660
Det låter väldigt mycket som att vi snackar skit om sårbarhetsscanners.
314 00:11:44,800 --> 00:11:45,660
Och det är inte poängen.
315 00:11:46,040 --> 00:11:47,620
Det är bara att användningsområdet.
316 00:11:47,920 --> 00:11:49,420
Man ska veta vad det är man pysslar med.
317 00:11:49,420 --> 00:11:51,300
Ja, och det jag blir irriterad på.
318 00:11:51,520 --> 00:11:52,940
Det är ju när någon.
319 00:11:56,220 --> 00:12:03,580
Felaktigt tror att man har gjort en pen-test när man har låtit ett sådant där scanningföretag scanna ens externa IP-adresser.
320 00:12:03,580 --> 00:12:04,840
Men det är ju annars bara ord.
321 00:12:04,980 --> 00:12:06,160
Det är ju inte någonting man kallar det.
322 00:12:06,180 --> 00:12:07,560
Man kan ju hellre för att cykla om man vill.
323 00:12:07,680 --> 00:12:16,700
Jo, men skillnaden är ju då när företag som ert eller mitt säljer en kvalificerad säkerhetsgranskning eller pen-test.
324 00:12:17,100 --> 00:12:21,540
Eller någonting med added value där vi faktiskt bidrar med kompetens.
325 00:12:21,740 --> 00:12:23,300
Och som är ganska dyrt.
326 00:12:23,500 --> 00:12:25,540
Och låt oss säga att du är med kanske i en upphandling.
327 00:12:25,860 --> 00:12:26,000
Ja.
328 00:12:26,220 --> 00:12:26,880
Eller liknande.
329 00:12:27,040 --> 00:12:29,540
Där någon kan offerera en känsla som de kallar för samma sak.
330 00:12:29,660 --> 00:12:29,780
Ja.
331 00:12:30,040 --> 00:12:31,780
Men som innebär en helt annan.
332 00:12:32,260 --> 00:12:36,400
Ja, för det innebär att du kräver alltså att kunden ska vara en så pass bra beställare.
333 00:12:36,500 --> 00:12:40,220
Så de ska kunna specificera vad de menar när de ska ha någonting.
334 00:12:40,380 --> 00:12:41,540
Och det kan inte kunden.
335 00:12:41,620 --> 00:12:42,860
Kunden säger, hej jag vill ha en bil.
336 00:12:43,040 --> 00:12:43,200
Ja.
337 00:12:43,460 --> 00:12:43,820
Absolut.
338 00:12:43,940 --> 00:12:46,240
Vi säger, köp den där Lamborghinin.
339 00:12:46,460 --> 00:12:48,820
Den kostar 14 miljoner.
340 00:12:49,260 --> 00:12:54,540
Och så kommer ett annat bolag och säger, ja men du för det här halva priset så kan du få den här sparkcykeln.
341 00:12:55,620 --> 00:12:55,820
Eller låt.
342 00:12:55,820 --> 00:12:57,420
Eller lådbilen.
343 00:12:57,740 --> 00:12:58,460
Det står bil på den.
344 00:12:58,580 --> 00:12:58,940
Köp den.
345 00:12:59,420 --> 00:13:00,300
Den är inte så dyr.
346 00:13:03,040 --> 00:13:03,960
Nu raljerar vi.
347 00:13:03,960 --> 00:13:11,580
Men jag känner ändå att man borde, alltså fan vet om det inte behövs en ISO-standard för att åtminstone reda ut begreppen.
348 00:13:11,780 --> 00:13:12,360
Så att man kan.
349 00:13:12,560 --> 00:13:18,040
Men det kanske är en mogenhet som bara behöver infinna sig i beställarorganisationen.
350 00:13:18,060 --> 00:13:21,140
Man kan ju hävda så här att om inte kunden ens vet vad det är de köper.
351 00:13:21,460 --> 00:13:22,600
Ska de då ens köpa det?
352 00:13:24,100 --> 00:13:25,300
Ja, det är också en relevant fråga.
353 00:13:25,300 --> 00:13:28,420
För det krävs ju också, om man pratar penetrationstest exempelvis.
354 00:13:28,680 --> 00:13:30,460
Någon sa att jag skulle köpa ett pentest.
355 00:13:30,720 --> 00:13:34,460
Ja, och det är sådana förfrågningar får ju vi ibland.
356 00:13:34,600 --> 00:13:35,740
Och de brukar vi tacka nej till.
357 00:13:35,900 --> 00:13:40,500
För att man inser ju att om man ska få ut ett värde av ett riktigt penetrationstest.
358 00:13:40,580 --> 00:13:42,980
På samma sätt som Ovens Hårdberg ska han också för den delen.
359 00:13:43,380 --> 00:13:47,740
Så krävs det en mottagareorganisation som kan hantera den informationen de får och göra någonting åt det.
360 00:13:49,920 --> 00:13:50,920
Så så är det ju.
361 00:13:52,620 --> 00:13:54,780
Man kan ju hävda att om folk inte vet vad de beställer.
362 00:13:54,780 --> 00:13:55,600
Så ska de inte göra det.
363 00:13:55,660 --> 00:13:58,940
Men jag tror ändå att det är viktigt att skilja på begreppen.
364 00:13:59,580 --> 00:14:02,280
Men låt oss säga nu att det här har varit kristallklart.
365 00:14:02,460 --> 00:14:03,540
Exakt vad är ett pentest?
366 00:14:03,680 --> 00:14:04,620
Vad är ett sårbarhetsskam?
367 00:14:04,680 --> 00:14:05,620
Vad är en sårbarhetsanalys?
368 00:14:05,960 --> 00:14:06,880
Allt det här är liksom.
369 00:14:07,460 --> 00:14:09,660
Det finns ett dictionary.
370 00:14:09,980 --> 00:14:10,900
Det finns en ISO-standard.
371 00:14:11,040 --> 00:14:12,600
Det finns hyllmeter skrivna.
372 00:14:13,360 --> 00:14:15,160
Extremt spesade och allmänt kända.
373 00:14:16,960 --> 00:14:20,620
Hjälper det oss egentligen om inte kunden vet vad det är de vill ha?
374 00:14:23,420 --> 00:14:24,620
De kan åtminstone.
375 00:14:24,780 --> 00:14:26,160
Jämfört med äpplen och äpplen.
376 00:14:26,160 --> 00:14:26,860
Ja, det kan de göra.
377 00:14:26,860 --> 00:14:30,080
Okej, så det hjälper företag som säljer de här tjänsterna.
378 00:14:30,080 --> 00:14:32,660
Iallafall de premiumtjänsterna som kostar lite mer hjälper det.
379 00:14:32,660 --> 00:14:33,160
Ja.
380 00:14:34,020 --> 00:14:38,160
Och förhoppningsvis blir inte kunden toklurad iallafall.
381 00:14:38,160 --> 00:14:42,900
Men det är fortfarande så att det inte är säkert att han kanske behövde en sårbarhetsscan.
382 00:14:42,900 --> 00:14:46,580
Men han köpte en sårbarhetsanalys på sex månader med ett team på tio pers.
383 00:14:46,960 --> 00:14:49,960
Men då kan kunden ju gå in förmodligen.
384 00:14:49,960 --> 00:14:54,540
Alltså någonstans kräver det ju fortfarande alltid att kunden vet vad de vill ha.
385 00:14:54,540 --> 00:14:56,540
Ja, det är ju nästan grunden.
386 00:14:56,540 --> 00:15:00,540
Vi kan definiera ord hur länge vi vill, men om de inte vet vad de vill ha så hjälper inte det.
387 00:15:00,540 --> 00:15:03,540
Nej, men det är ju ett annat problem skulle jag säga litegrann.
388 00:15:03,540 --> 00:15:04,540
Ja, okej.
389 00:15:04,540 --> 00:15:07,540
Kan ni komma hit och göra lite allmän säkerhet?
390 00:15:07,540 --> 00:15:13,540
Att kunden ska veta vad de vill ha, det är ju ett problem som vi inte riktigt kan lösa.
391 00:15:13,540 --> 00:15:15,540
Nödvändigtvis, lika enkelt iallafall.
392 00:15:15,540 --> 00:15:23,540
Däremot så kan vi ju försöka ha en åsikt om att iallafall inte blanda ihop äpplen och päron när man använder olika termer.
393 00:15:23,540 --> 00:15:24,040
Mm.
394 00:15:24,540 --> 00:15:27,540
För det jag försöker säga är såhär, låt oss säga att…
395 00:15:27,540 --> 00:15:29,540
Vill du ha en bil, så vill du ha en bil.
396 00:15:29,540 --> 00:15:33,540
Vill du ha en cykel, vill du ha en cykel. Jag skiter ifall du ville ju ha en bil och beställde en cykel.
397 00:15:33,540 --> 00:15:35,540
Det är ju ditt problem.
398 00:15:35,540 --> 00:15:37,540
Men då fick du iallafall det du beställde.
399 00:15:37,540 --> 00:15:42,540
Men det jag menar är, om du inte vet vad det är för bil du vill ha, då ska du inte gå in och beställa en bil.
400 00:15:42,540 --> 00:15:44,540
Utan du ska säga, vad är det för problem jag vill lösa?
401 00:15:44,540 --> 00:15:47,540
Jo, jag vill kunna ta mig hemifrån och till jobbet varje dag.
402 00:15:47,540 --> 00:15:49,540
Jag vill kunna få plats med lite kartongar.
403 00:15:49,540 --> 00:15:50,540
Ja.
404 00:15:50,540 --> 00:15:52,540
Du får presentera ditt problem istället.
405 00:15:52,540 --> 00:15:53,540
Paketcykeln.
406 00:15:53,540 --> 00:15:55,540
Samma sak ska ju vara i det här då menar jag.
407 00:15:55,540 --> 00:15:58,540
Om inte kunden vet riktigt vad de vill ha, vilket ord de ska välja här.
408 00:15:58,540 --> 00:15:59,540
Nej.
409 00:15:59,540 --> 00:16:01,540
Beskriv i så fall, vad är du ute efter?
410 00:16:01,540 --> 00:16:02,540
Precis.
411 00:16:02,540 --> 00:16:10,540
Men jag kan ju känna såhär för egen del då, jag levererar ju inte ett par av de här.
412 00:16:10,540 --> 00:16:11,540
Till exempel.
413 00:16:11,540 --> 00:16:13,540
Alltså jag gör inte pentester.
414 00:16:13,540 --> 00:16:14,540
Nej.
415 00:16:14,540 --> 00:16:15,540
Till exempel.
416 00:16:15,540 --> 00:16:17,540
Och varför gör jag inte det?
417 00:16:17,540 --> 00:16:22,540
Ja, det är för att jag är för ringrostig och att jag känner att det finns andra…
418 00:16:22,540 --> 00:16:24,540
Det finns andra som kan göra det bättre.
419 00:16:24,540 --> 00:16:26,540
Så då passar jag hellre den bollen.
420 00:16:26,540 --> 00:16:27,540
Mm.
421 00:16:27,540 --> 00:16:41,540
Och istället så jobbar jag med added value på exempelvis teknisk säkerhetsreview eller på en audit eller motsvarande liksom.
422 00:16:41,540 --> 00:16:45,540
Där man har ett tydligt mål mot ett krav.
423 00:16:45,540 --> 00:16:46,540
Mm.
424 00:16:46,540 --> 00:16:47,540
Mm.
425 00:16:47,540 --> 00:16:50,540
Ja, så du jobbar hellre då på så att säga på designsidan om man säger så.
426 00:16:50,540 --> 00:16:52,540
De har hittat på någonting.
427 00:16:52,540 --> 00:16:53,540
Ja.
428 00:16:53,540 --> 00:16:56,540
Och när man nu tittar på dokumentationen så är de, ja är det här kosher?
429 00:16:56,540 --> 00:16:57,540
Ja, precis.
430 00:16:57,540 --> 00:16:58,540
Till exempel.
431 00:16:58,540 --> 00:17:03,540
Eller utifrån, alltså att man vill göra en granskning på en arkitektur.
432 00:17:03,540 --> 00:17:04,540
Mm.
433 00:17:04,540 --> 00:17:05,540
Och gå in och titta.
434 00:17:05,540 --> 00:17:21,540
Och då om man då tar skillnaden på en säkerhetsreview och en teknisk säkerhetsreview är att på arkitekturnivå så kanske på en säkerhetsreview kanske man bara sitter och tittar på nätkartor och hur de har designat sin miljö eller motsvarande.
435 00:17:21,540 --> 00:17:26,540
Men på en teknisk säkerhetsreview och faktiskt gå in och verifiera, ser det ut så som, alltså stämmer kartan med verkligheten?
436 00:17:26,540 --> 00:17:27,540
Mm.
437 00:17:27,540 --> 00:17:31,540
Och de två har ju helt olika syften.
438 00:17:31,540 --> 00:17:33,540
Det ena kan ju vara att granska någonting innan det byggs.
439 00:17:33,540 --> 00:17:34,540
Japp.
440 00:17:34,540 --> 00:17:38,540
Och det andra kan vara att man granskar det efter att någon annan eller tredje part har fått bygga det.
441 00:17:38,540 --> 00:17:44,540
Men kan man inte säga arkitekturell review och implementationsreview eller någonting då för att ju tydliggöra bättre?
442 00:17:44,540 --> 00:17:46,540
Ja, ja absolut.
443 00:17:46,540 --> 00:17:48,540
För jag menar båda kan ju vara ganska tekniska.
444 00:17:48,540 --> 00:17:49,540
Oh ja, absolut.
445 00:17:49,540 --> 00:17:51,540
Men det är ju en tydligare gränsdragning då.
446 00:17:51,540 --> 00:17:52,540
Ja, jag tycker också det.
447 00:17:52,540 --> 00:18:00,540
Och som blir, för om du bara säger säkerhetsreview och teknisk säkerhetsreview, den skiljelinjen är ju inte supertydlig.
448 00:18:00,540 --> 00:18:03,540
Jag känner att vi här och nu håller på att skapa en ISO-standard.
449 00:18:03,540 --> 00:18:10,540
Ja, men då är det ju bättre att säga en säkerhetsarkitekturell review och en säkerhetsimplementationsreview eller någonting.
450 00:18:10,540 --> 00:18:11,540
Mm.
451 00:18:11,540 --> 00:18:14,540
Kanske inte just den ordningsföljden på orden, men det förstår jag mer.
452 00:18:14,540 --> 00:18:17,540
Nej, men jag menar en teknisk säkerhetsreview, det kan ju vara på ett enskilt system.
453 00:18:17,540 --> 00:18:18,540
Ja.
454 00:18:18,540 --> 00:18:21,540
Som är lup och pinsett och går igenom alla säkerhetsinställningar.
455 00:18:21,540 --> 00:18:22,540
Ja, det var jag.
456 00:18:22,540 --> 00:18:24,540
Men då är det fortfarande implementationen du tittar på.
457 00:18:24,540 --> 00:18:26,540
Ja, jag tycker det. Design och implementation, det är där man drar gränsen istället.
458 00:18:26,540 --> 00:18:27,540
Ja, exakt.
459 00:18:27,540 --> 00:18:29,540
Men många gånger så kanske det är så här…
460 00:18:29,540 --> 00:18:31,540
Och båda är ju bra i det.
461 00:18:31,540 --> 00:18:36,540
Ja, att man bara vill ha ett hum om att man har tänkt rätt liksom.
462 00:18:36,540 --> 00:18:39,540
Och då är det kanske mer sanity checks vi pratar om.
463 00:18:39,540 --> 00:18:42,540
Ja, men det kan ju vara långt ner på teknikstaksnivå också liksom.
464 00:18:42,540 --> 00:18:43,540
Ja, jo, absolut.
465 00:18:43,540 --> 00:18:45,540
Exakt vilket krypto ska du använda här.
466 00:18:45,540 --> 00:18:47,540
Men då är ju frågan vilka ord man ska använda då.
467 00:18:47,540 --> 00:18:49,540
Det är ju terminologi vi pratar om.
468 00:18:49,540 --> 00:18:52,540
Svårigheten är, och det är väl egentligen pudelns kärna här liksom.
469 00:18:52,540 --> 00:18:57,540
Hur kan vi marknadsföra liksom vad vi tillför med vår kompetens?
470 00:18:57,540 --> 00:19:06,540
För jag tänker att det är lite som om man nu får vara krass och jämföra oss med låt oss säga snickare.
471 00:19:06,540 --> 00:19:13,540
Jag blir inte en snickare bara för att jag gått och köpt mig en borsblå sticksåg och en fräck ny hammare.
472 00:19:13,540 --> 00:19:16,540
Det är liksom i händerna på en duktig yrkesman
473 00:19:16,540 --> 00:19:18,540
som den där verktygen gör skillnad.
474 00:19:18,540 --> 00:19:22,540
Och det är ju samma med en sårbarhetsscan eller burp suite eller
475 00:19:22,540 --> 00:19:26,540
för den sakens skull forensic toolkit liksom.
476 00:19:26,540 --> 00:19:31,540
Men det är ju fortfarande så att någon med en hammare kan ju ändå hjälpa en person som inte har en hammare.
477 00:19:31,540 --> 00:19:34,540
Så jag menar, de tillför värde de också menar jag.
478 00:19:34,540 --> 00:19:37,540
Jo, det kan ju faktiskt vara en spik.
479 00:19:37,540 --> 00:19:43,540
Men om alla, om allt du har är en hammare så ser alla problem ut som spikar.
480 00:19:43,540 --> 00:19:45,540
Men det är en annan.
481 00:19:46,540 --> 00:19:50,540
Ja, exakt. Den här analogin kanske inte är…
482 00:19:50,540 --> 00:19:52,540
Analogin är sällan det.
483 00:19:52,540 --> 00:19:54,540
Helt perfekt.
484 00:19:54,540 --> 00:19:57,540
Men ja, jag är med på vad du menar.
485 00:19:57,540 --> 00:19:59,540
Bara för att du har en hammare och en fräck…
486 00:19:59,540 --> 00:20:04,540
Bara för att du har fräcka verktyg betyder det inte att du har kompetensen att få göra något bra av dem.
487 00:20:04,540 --> 00:20:07,540
Men å andra sidan så kan du ju…
488 00:20:07,540 --> 00:20:11,540
Det kan ju finnas ett läge där du vill bara köpa en sårbarhetsscan exempelvis.
489 00:20:11,540 --> 00:20:13,540
Jag vill inte ha någon analys.
490 00:20:13,540 --> 00:20:15,540
Men då ska du veta vad det är du köper.
491 00:20:15,540 --> 00:20:17,540
Och då ska det kallas för sårbarhetsscan och inte för pentest.
492 00:20:17,540 --> 00:20:20,540
Nu har vi rundgång. Hur kommer vi framåt? Hur hjälper vi världen här nu?
493 00:20:20,540 --> 00:20:23,540
Jag tycker vi kan gå vidare på det första från pentest och sårbarhetsscan.
494 00:20:23,540 --> 00:20:26,540
För där tror jag vi är hyfsat med varandra på att de termerna betyder inte samma sak.
495 00:20:26,540 --> 00:20:28,540
Men de är ofta ihopblandade.
496 00:20:28,540 --> 00:20:29,540
Men om vi då…
497 00:20:29,540 --> 00:20:31,540
Gå vidare till de här som är lite mer…
498 00:20:31,540 --> 00:20:33,540
Nu pekar jag på en tavla här som ni inte ser så här.
499 00:20:33,540 --> 00:20:35,540
Det är bra radio.
500 00:20:35,540 --> 00:20:38,540
Men gå vidare till de här termerna som är lite mer fluffiga då.
501 00:20:38,540 --> 00:20:43,540
Med säkerhetsreviewer och audits och sårbarhetsanalys och så här.
502 00:20:43,540 --> 00:20:44,540
Vad ser vi som här?
503 00:20:44,540 --> 00:20:48,540
Vad innebär skillnaderna på de här och vad är problemen?
504 00:20:48,540 --> 00:20:52,540
En audit, den tycker jag är väldigt tajt definierad.
505 00:20:52,540 --> 00:20:57,540
Då har du en…
506 00:20:57,540 --> 00:21:00,540
Det finns standarder för hur man gör en audit.
507 00:21:00,540 --> 00:21:03,540
Det finns standarder för hur du förhåller dig till en audit.
508 00:21:03,540 --> 00:21:08,540
Det finns oftast en standard som du reviderar mot.
509 00:21:08,540 --> 00:21:10,540
Och du jobbar ofta mot ett ramverk.
510 00:21:10,540 --> 00:21:11,540
Ja, exakt.
511 00:21:11,540 --> 00:21:14,540
Och då har du ett antal checkpunkter som du ska kontrollera.
512 00:21:14,540 --> 00:21:21,540
Och så ska du samla in tillräckligt mycket bevis för att en kontroll antingen fungerar eller inte fungerar.
513 00:21:21,540 --> 00:21:28,540
Och då kan man ju hävda att en pentest eller sådana saker skulle kunna vara under kategorier till en audit.
514 00:21:28,540 --> 00:21:29,540
Absolut.
515 00:21:29,540 --> 00:21:32,540
Men oftast är väl audits ganska papper och penna baserade va?
516 00:21:32,540 --> 00:21:34,540
De är inte speciellt tekniska.
517 00:21:34,540 --> 00:21:37,540
Även de som jag håller med är definitiva att de skulle kunna innehålla tekniska…
518 00:21:37,540 --> 00:21:39,540
Det skulle kunna vara ett sätt att checka en box i en audit.
519 00:21:39,540 --> 00:21:43,540
Ända tills Oracle eller IBM kommer och vill köra ett skript på alla dina servrar.
520 00:21:44,540 --> 00:21:49,540
För att samla in allt som du har på dina maskiner.
521 00:21:49,540 --> 00:21:50,540
Varför då?
522 00:21:50,540 --> 00:21:53,540
Ja, men det är bra att ha.
523 00:21:53,540 --> 00:21:56,540
Men en audit…
524 00:21:56,540 --> 00:22:01,540
Där känns det som att här har du ett ramverk som du jobbar utifrån.
525 00:22:01,540 --> 00:22:06,540
Det är tydligt definierat. Du ska uppnå de här och de här boxarna.
526 00:22:06,540 --> 00:22:11,540
PCI DSS är exempelvis ett ordentligt ramverk.
527 00:22:11,540 --> 00:22:13,540
Som då leder till problem.
528 00:22:13,540 --> 00:22:17,540
När det står att du ska ha utfört en säkerhetsgranskning eller någonting.
529 00:22:17,540 --> 00:22:18,540
En sårbarhetsgranskning.
530 00:22:18,540 --> 00:22:19,540
Oberoende.
531 00:22:19,540 --> 00:22:22,540
Exakt. Och då kommer någon och säger att jag har en sårbarhetsgranskning.
532 00:22:22,540 --> 00:22:25,540
Jag har pentest. Vad vill du ha?
533 00:22:25,540 --> 00:22:29,540
Och det är väl lite där som det är ett glapp.
534 00:22:29,540 --> 00:22:34,540
Och nu ska jag inte spotta för mycket på revisorer.
535 00:22:34,540 --> 00:22:40,540
Men har man jobbat tillräckligt länge i branschen så vet man hur man kan använda dem som verktyg.
536 00:22:40,540 --> 00:22:42,540
Och ofta så…
537 00:22:43,540 --> 00:22:49,540
Om det kommer stora drakarna så kommer det nyutexade valpar som inte har satt fingrarna i ett riktigt system någon gång.
538 00:22:49,540 --> 00:22:53,540
Så det är väldigt mycket penna och papper.
539 00:22:53,540 --> 00:22:56,540
Men de kan sina ordentliga standards.
540 00:22:56,540 --> 00:22:58,540
Bara man kan svara på frågorna så går det bra.
541 00:22:58,540 --> 00:22:59,540
Ja.
542 00:22:59,540 --> 00:23:07,540
Okej. Ska vi prata lite om de här subtermerna på pentest?
543 00:23:07,540 --> 00:23:11,540
För jag tyckte att vi var inne på något intressant där när vi pratade säkerhetsreview.
544 00:23:11,540 --> 00:23:12,540
Mm.
545 00:23:12,540 --> 00:23:14,540
För att…
546 00:23:14,540 --> 00:23:15,540
Jag vill gå tillbaka till det.
547 00:23:15,540 --> 00:23:18,540
För att dra gränsdragningar mellan säkerhetsreview och teknisk säkerhetsreview.
548 00:23:18,540 --> 00:23:20,540
Det ger oss ingenting.
549 00:23:20,540 --> 00:23:21,540
Nej.
550 00:23:21,540 --> 00:23:23,540
Det är för nära varandra.
551 00:23:23,540 --> 00:23:27,540
Det är för otydligt vad vi menar med de två olika begreppen.
552 00:23:27,540 --> 00:23:31,540
Jag tycker att design och implementation är mycket bättre begrepp.
553 00:23:31,540 --> 00:23:32,540
Om det är det vi menar.
554 00:23:32,540 --> 00:23:34,540
Och då är ju dessutom test väldigt bra sen också.
555 00:23:34,540 --> 00:23:35,540
För att det kommer ju i pentest.
556 00:23:35,540 --> 00:23:37,540
Och sårbarhetsscanning är också i testfasen typiskt.
557 00:23:37,540 --> 00:23:39,540
Så det är design, implementation och test.
558 00:23:39,540 --> 00:23:40,540
Ja.
559 00:23:40,540 --> 00:23:41,540
Och då har du…
560 00:23:41,540 --> 00:23:44,540
Då pratar vi ju dessutom developerspråk här från ett säkerhetsperspektiv.
561 00:23:44,540 --> 00:23:46,540
Vilket är väldigt praktiskt.
562 00:23:46,540 --> 00:23:47,540
Ja.
563 00:23:47,540 --> 00:23:49,540
Vi har missat kravfasen men den har vi inte riktigt satt upp här.
564 00:23:49,540 --> 00:23:50,540
Ja, den har du ju auditad vet du.
565 00:23:50,540 --> 00:23:51,540
Aaaaah.
566 00:23:51,540 --> 00:23:52,540
Nej, den kommer auditad.
567 00:23:52,540 --> 00:23:53,540
Nej, den har du inte.
568 00:23:53,540 --> 00:23:55,540
Och din FSR också.
569 00:23:55,540 --> 00:23:56,540
Ja.
570 00:23:56,540 --> 00:23:59,540
Men det är ganska bra för att då kan vi…
571 00:23:59,540 --> 00:24:01,540
Vi skrotar ordet säkerhetsreview.
572 00:24:01,540 --> 00:24:05,540
Eller den skillnaden mellan de är teknisk och oteknisk då.
573 00:24:05,540 --> 00:24:08,540
Vill du göra en oteknisk säkerhetsreview på den här?
574 00:24:08,540 --> 00:24:09,540
Ja, vad är en dator?
575 00:24:10,540 --> 00:24:13,540
Hur kopplar man in den här kabeln?
576 00:24:13,540 --> 00:24:14,540
Är du säker?
577 00:24:14,540 --> 00:24:17,540
Design och implementationsreview är mycket bättre ord då.
578 00:24:17,540 --> 00:24:20,540
Ja, men det köper jag någonstans.
579 00:24:20,540 --> 00:24:22,540
Det är väl så.
580 00:24:22,540 --> 00:24:28,540
Men det jag menar är att en säkerhetsreview kan vara väldigt teknisk.
581 00:24:28,540 --> 00:24:32,540
Och det kan gå väldigt djupt i teknikstacken.
582 00:24:32,540 --> 00:24:36,540
Och den kan titta.
583 00:24:36,540 --> 00:24:38,540
Men jag tycker att det handlar mycket mer om att
584 00:24:38,540 --> 00:24:44,540
ta ett system, lyfta på motorhuven och kolla så att det är putsat och oljat.
585 00:24:44,540 --> 00:24:48,540
Och att alla konfigurationsfiler sitter som de ska.
586 00:24:48,540 --> 00:24:50,540
Du slår inte aggressivt på det med konstiga saker.
587 00:24:50,540 --> 00:24:51,540
Nej, precis.
588 00:24:51,540 --> 00:24:53,540
Du försöker inte aktivt ta sönder det.
589 00:24:53,540 --> 00:24:55,540
Vilket man gör då i ett penetrationstest.
590 00:24:55,540 --> 00:24:59,540
Där försöker du slå hål eller penetrera ett systemsbarriär.
591 00:24:59,540 --> 00:25:05,540
Och jag menar, tar vi då ett pentest på infrasidan till exempel.
592 00:25:05,540 --> 00:25:07,540
Så är det ju så här att jag menar…
593 00:25:07,540 --> 00:25:14,540
Då kan det ju vara så att ett företag har implementerat ett system helt perfekt.
594 00:25:14,540 --> 00:25:20,540
Men det finns en sårbarhet i någon av komponenterna som Jesper lyckats hitta.
595 00:25:20,540 --> 00:25:28,540
För att han hade en sådan där låda och pillade i särden och reverse-engineerade något chipset.
596 00:25:28,540 --> 00:25:34,540
Och hittade en XSS eller en buffer overflow eller någonting annat.
597 00:25:34,540 --> 00:25:35,540
Mm.
598 00:25:35,540 --> 00:25:36,540
Jag menar…
599 00:25:36,540 --> 00:25:38,540
I det fallet så är det…
600 00:25:38,540 --> 00:25:47,540
Du testar ju robustheten av någonting som förhoppningsvis redan är perfekt uppsatt.
601 00:25:47,540 --> 00:25:48,540
Ja, precis.
602 00:25:48,540 --> 00:25:50,540
Det ska…
603 00:25:50,540 --> 00:25:51,540
Ja…
604 00:25:51,540 --> 00:25:52,540
I den bästa av världar.
605 00:25:52,540 --> 00:25:53,540
Det ska matcha mot…
606 00:25:53,540 --> 00:25:55,540
Förhoppningsvis har du gjort en design-review.
607 00:25:55,540 --> 00:25:56,540
Ja.
608 00:25:56,540 --> 00:25:57,540
Först.
609 00:25:57,540 --> 00:25:58,540
För att säga…
610 00:25:58,540 --> 00:25:59,540
Har ni tänkt rätt?
611 00:25:59,540 --> 00:26:04,540
Och du har dina processer för att liksom alla tekniska kontroller är där och de är uppdaterade.
612 00:26:04,540 --> 00:26:05,540
Exakt.
613 00:26:05,540 --> 00:26:06,540
För att du har ordning på dina grejer.
614 00:26:06,540 --> 00:26:07,540
Och sen gör du en implementations-review.
615 00:26:07,540 --> 00:26:08,540
Ja.
616 00:26:08,540 --> 00:26:09,540
Är det här implementerat rätt?
617 00:26:09,540 --> 00:26:10,540
Används det någon modul här med några kända sårbarheter som vi har missat?
618 00:26:10,540 --> 00:26:11,540
Ja.
619 00:26:11,540 --> 00:26:12,540
Är det några…
620 00:26:12,540 --> 00:26:13,540
Har vi glömt en brandvägsregel här som fuckar upp någonting för oss?
621 00:26:13,540 --> 00:26:14,540
Mm.
622 00:26:14,540 --> 00:26:15,540
Ja.
623 00:26:15,540 --> 00:26:16,540
Och sen så tar man sig vidare ytterligare därifrån då till ett aktivt penetrationstest
624 00:26:16,540 --> 00:26:17,540
då.
625 00:26:17,540 --> 00:26:18,540
Där vi ser…
626 00:26:18,540 --> 00:26:19,540
Nu kastar vi hackers på detta och ser ifall vi kan slå sönder det.
627 00:26:19,540 --> 00:26:20,540
Mm.
628 00:26:20,540 --> 00:26:21,540
Och så hitta nya sårbarheter egentligen.
629 00:26:21,540 --> 00:26:22,540
Mm.
630 00:26:22,540 --> 00:26:23,540
Precis.
631 00:26:23,540 --> 00:26:24,540
Och även kanske oväntade effekter som…
632 00:26:24,540 --> 00:26:25,540
Ja.
633 00:26:25,540 --> 00:26:26,540
Ja.
634 00:26:26,540 --> 00:26:27,540
Ja.
635 00:26:27,540 --> 00:26:28,540
Ja.
636 00:26:28,540 --> 00:26:29,540
Exakt.
637 00:26:29,540 --> 00:26:30,540
Otippade…
638 00:26:30,540 --> 00:26:31,540
Ja.
639 00:26:31,540 --> 00:26:32,540
Alltså när man gör en granskning så tittar man kanske mycket på det som finns här.
640 00:26:32,540 --> 00:26:33,540
Eller det som ska finnas här.
641 00:26:33,540 --> 00:26:34,540
Hur har man tänkt?
642 00:26:34,540 --> 00:26:35,540
Är det gjort rätt?
643 00:26:35,540 --> 00:26:36,540
Ja.
644 00:26:36,540 --> 00:26:37,540
Så vidare.
645 00:26:37,540 --> 00:26:38,540
Medan en sårbarhets…
646 00:26:38,540 --> 00:26:39,540
Eller en pentest då kan vara mer så här…
647 00:26:39,540 --> 00:26:40,540
Och shit!
648 00:26:40,540 --> 00:26:41,540
Här fanns ju en dörr som inte…
649 00:26:41,540 --> 00:26:42,540
Som inte ens skulle finnas liksom.
650 00:26:42,540 --> 00:26:43,540
Mm.
651 00:26:43,540 --> 00:26:44,540
Eller det här var ett konstigt sidobeteende som jag kan utnyttja.
652 00:26:44,540 --> 00:26:45,540
Och jag tänker att i en…
653 00:26:45,540 --> 00:26:46,540
Ja.
654 00:26:46,540 --> 00:26:47,540
Ja.
655 00:26:47,540 --> 00:26:48,540
Ja.
656 00:26:48,540 --> 00:26:49,540
Ja.
657 00:26:49,540 --> 00:26:50,540
Ja.
658 00:26:50,540 --> 00:26:51,540
Ja.
659 00:26:51,540 --> 00:26:52,540
Ja.
660 00:26:52,540 --> 00:26:53,540
Ja.
661 00:26:53,540 --> 00:26:54,540
Ja.
662 00:26:54,540 --> 00:26:55,540
Ja.
663 00:26:55,540 --> 00:26:56,540
Ja.
664 00:26:56,540 --> 00:26:57,540
Ja.
665 00:26:57,540 --> 00:26:58,540
Ja.
666 00:26:58,540 --> 00:26:59,540
Ja.
667 00:26:59,540 --> 00:27:00,540
Alltså…
668 00:27:00,540 --> 00:27:04,300
I och för sig så ska man ju kunna hitta rätt i en arkitekturreview också.
669 00:27:04,300 --> 00:27:07,600
Men jag tänker att saker som…
670 00:27:07,600 --> 00:27:11,200
Second-order-injection eller där du konsumerar en…
671 00:27:11,200 --> 00:27:12,200
Men ja.
672 00:27:12,200 --> 00:27:16,260
Javascript från tredje part som visar sig innehålla en kvartsgymmer liksom.
673 00:27:16,260 --> 00:27:17,260
Alltså sån…
674 00:27:17,260 --> 00:27:18,260
Den typen av…
675 00:27:18,260 --> 00:27:19,260
Jag vet inte…
676 00:27:19,260 --> 00:27:21,640
Det här är ju mer lagt på pentestsidan än på reviewsidan.
677 00:27:21,640 --> 00:27:22,640
Ja.
678 00:27:22,640 --> 00:27:26,860
Alltså grejen är att de här i sitt utförande går ju delvis in i varandra.
679 00:27:26,860 --> 00:27:27,860
Ja det är det.
680 00:27:27,860 --> 00:27:29,740
när man kommer till implementationsreview och
681 00:27:29,740 --> 00:27:31,980
pentest kanske. Jag tycker de kommer
682 00:27:31,980 --> 00:27:33,620
från olika håll litegrann. Det gör man
683 00:27:33,620 --> 00:27:35,420
med design och implementation.
684 00:27:36,060 --> 00:27:37,720
Säkerhetsreview tycker jag är mycket mer
685 00:27:37,720 --> 00:27:40,300
whitebox över det. Man har
686 00:27:40,300 --> 00:27:42,100
all spes, man har all tillgång
687 00:27:42,100 --> 00:27:43,440
till all dokumentation och sånt.
688 00:27:43,820 --> 00:27:45,860
Medan pentest kan vara mycket mer blackboxad.
689 00:27:46,040 --> 00:27:47,440
Det här är ett system.
690 00:27:47,440 --> 00:27:49,720
Precis, och då kanske vi ska reda ut
691 00:27:49,720 --> 00:27:51,640
de termerna också då, när vi ändå är inne på det.
692 00:27:52,260 --> 00:27:53,340
Det här är ju
693 00:27:53,340 --> 00:27:55,380
förmodligen old hat för många
694 00:27:55,380 --> 00:27:57,620
här inne, för många som
695 00:27:57,620 --> 00:27:58,960
lyssnar menar jag såklart. Men
696 00:27:58,960 --> 00:28:01,280
whitebox, greybox och blackbox
697 00:28:01,280 --> 00:28:02,640
är ju termerna man brukar använda vid
698 00:28:02,640 --> 00:28:05,380
penetrationstest. Som egentligen
699 00:28:05,380 --> 00:28:07,460
är lite missvisande. Jag har även hört
700 00:28:07,460 --> 00:28:09,100
termerna crystalbox
701 00:28:09,100 --> 00:28:11,140
användas i stället för whitebox.
702 00:28:11,720 --> 00:28:13,420
Vilket ju är makes more sense
703 00:28:13,420 --> 00:28:14,760
om man tänker på vad det faktiskt innebär.
704 00:28:14,760 --> 00:28:16,860
Men det det betyder är ju då
705 00:28:16,860 --> 00:28:18,460
såklart att
706 00:28:18,460 --> 00:28:20,660
i fallet whitebox har du tillgång till
707 00:28:20,660 --> 00:28:22,940
allting, det vill säga källkod, dokumentation
708 00:28:22,940 --> 00:28:24,880
och så vidare, innan du sätter dig
709 00:28:24,880 --> 00:28:26,860
ner och börjar slå på ett system. Du har förmodligen
710 00:28:26,860 --> 00:28:27,500
kanske
711 00:28:27,500 --> 00:28:29,160
till och med access till serverna
712 00:28:29,160 --> 00:28:31,200
så du kan kolla på loggarna, du kan
713 00:28:31,200 --> 00:28:32,960
ha en dedikerad kontakt hos kunden och så vidare.
714 00:28:34,380 --> 00:28:35,280
Eller det har du förhoppningsvis
715 00:28:35,280 --> 00:28:35,960
ändå.
716 00:28:36,600 --> 00:28:39,540
Men någon
717 00:28:39,540 --> 00:28:41,100
som kan svara på frågor
718 00:28:41,100 --> 00:28:42,460
när skit händer och sånt.
719 00:28:44,560 --> 00:28:45,040
Blackbox
720 00:28:45,040 --> 00:28:47,000
är då raka motsatsen, du har ingenting.
721 00:28:47,100 --> 00:28:49,240
Du är basically en bug bounty hunter.
722 00:28:49,580 --> 00:28:51,040
Du går in med inga förutsättningar
723 00:28:51,040 --> 00:28:52,740
och försöker göra grejer.
724 00:28:52,980 --> 00:28:55,220
Om du behöver ett konto så får du
725 00:28:55,220 --> 00:28:55,980
registrera ett konto.
726 00:28:57,500 --> 00:28:59,620
Du går precis rakt utifrån som en
727 00:28:59,620 --> 00:29:01,160
hacker på internet hade gjort.
728 00:29:02,060 --> 00:29:03,760
Och greybox är någonstans där mitt emellan.
729 00:29:03,860 --> 00:29:05,820
Du kanske har dokumentation men inte källkod.
730 00:29:06,120 --> 00:29:07,520
Eller sådana saker.
731 00:29:08,700 --> 00:29:08,940
Ja.
732 00:29:09,520 --> 00:29:11,880
Det är väldigt olika
733 00:29:11,880 --> 00:29:13,040
angreppssätt och
734 00:29:13,040 --> 00:29:15,280
jag tror att
735 00:29:15,280 --> 00:29:17,760
de olika angreppssätten
736 00:29:17,760 --> 00:29:18,580
har olika syften.
737 00:29:18,580 --> 00:29:19,300
Ja.
738 00:29:20,040 --> 00:29:21,600
Det här kommer in lite på redteaming
739 00:29:21,600 --> 00:29:23,840
som Mattias nämnde förut
740 00:29:23,840 --> 00:29:25,960
i förbifarten.
741 00:29:26,880 --> 00:29:27,340
Alltså att man,
742 00:29:27,500 --> 00:29:29,380
det kan finnas tillfällen där Pentius
743 00:29:29,380 --> 00:29:31,180
använder för ett tydligt mål.
744 00:29:31,240 --> 00:29:33,340
Vi vill se om ett kvalificerat team på
745 00:29:33,340 --> 00:29:35,460
den här tidsrymden kan nå
746 00:29:35,460 --> 00:29:37,300
detta målet exempelvis. För att se ifall
747 00:29:37,300 --> 00:29:39,200
våra säkerhetsfunktioner
748 00:29:39,200 --> 00:29:40,160
funkar som de ska.
749 00:29:40,560 --> 00:29:41,200
Ja, precis.
750 00:29:43,900 --> 00:29:45,000
Och där tänker jag just
751 00:29:45,000 --> 00:29:46,460
i
752 00:29:46,460 --> 00:29:48,960
blackbox-fallet
753 00:29:48,960 --> 00:29:50,340
så är det väl oftast där
754 00:29:50,340 --> 00:29:52,880
att du testar
755 00:29:52,880 --> 00:29:54,960
hur väl håller våra
756 00:29:54,960 --> 00:29:57,120
försvarsmyra upp emot
757 00:29:57,120 --> 00:29:59,280
ett team oinsatta
758 00:29:59,280 --> 00:30:01,040
som inte har någon information
759 00:30:01,040 --> 00:30:02,480
om hur vår infra ser ut.
760 00:30:03,620 --> 00:30:04,700
Medan en
761 00:30:04,700 --> 00:30:07,220
whitebox handlar mer om att
762 00:30:07,220 --> 00:30:08,980
om ni
763 00:30:08,980 --> 00:30:10,720
skulle vara en
764 00:30:10,720 --> 00:30:13,020
insatt utvecklare
765 00:30:13,020 --> 00:30:14,900
i det här systemet, skulle ni
766 00:30:14,900 --> 00:30:16,020
kunna hacka?
767 00:30:16,240 --> 00:30:18,980
Antingen det eller att man
768 00:30:18,980 --> 00:30:20,680
försöker
769 00:30:20,680 --> 00:30:23,060
kostnadseffektivisera det hela.
770 00:30:24,120 --> 00:30:24,960
För du har inte
771 00:30:24,960 --> 00:30:27,080
du kan tänka dig
772 00:30:27,080 --> 00:30:28,820
att det är ett scenario där du har en ondsint
773 00:30:28,820 --> 00:30:30,800
angripare som har ett år att lägga på
774 00:30:30,800 --> 00:30:33,140
att försöka angripa det här systemet.
775 00:30:33,140 --> 00:30:34,040
Medan du som
776 00:30:34,040 --> 00:30:37,040
kunden är ju självklart inte vill det att du
777 00:30:37,040 --> 00:30:39,180
som säkerhetskonsult ska lägga ett år
778 00:30:39,180 --> 00:30:40,840
på att hacka systemet. Utan de säger hellre
779 00:30:40,840 --> 00:30:42,680
hej, ta förutsättningarna
780 00:30:42,680 --> 00:30:44,640
hitta samma sårbarheter
781 00:30:44,640 --> 00:30:47,120
på en vecka istället. Eftersom att du har tillgång
782 00:30:47,120 --> 00:30:49,360
till källkåren och dokumentationen
783 00:30:49,360 --> 00:30:50,920
som det annars hade tagit ett år att göra
784 00:30:50,920 --> 00:30:51,640
om man inte hade det.
785 00:30:52,680 --> 00:30:55,060
Men där tänker jag också om man ser
786 00:30:55,060 --> 00:30:55,500
till
787 00:30:57,080 --> 00:30:59,460
white box
788 00:30:59,460 --> 00:31:01,240
fallet. Så jag menar
789 00:31:01,240 --> 00:31:03,200
en tillräckligt
790 00:31:03,200 --> 00:31:05,780
motiverad angripare
791 00:31:05,780 --> 00:31:08,160
ser ju till att skaffa sig den informationen
792 00:31:08,160 --> 00:31:08,940
som man behöver
793 00:31:08,940 --> 00:31:11,820
i form av recon
794 00:31:11,820 --> 00:31:13,640
i form av open source
795 00:31:13,640 --> 00:31:14,420
intelligence
796 00:31:14,420 --> 00:31:17,640
i form av att stjäla
797 00:31:17,640 --> 00:31:18,980
dokument från
798 00:31:18,980 --> 00:31:21,780
anställda
799 00:31:21,780 --> 00:31:22,740
eller motsvarande.
800 00:31:22,740 --> 00:31:24,400
Men det är det steget du
801 00:31:24,400 --> 00:31:26,360
kattar ut här. Du ger
802 00:31:26,360 --> 00:31:28,320
samma förutsättningar som någon
803 00:31:28,320 --> 00:31:30,780
som hade lagt mycket mer tid
804 00:31:30,780 --> 00:31:32,620
på det. Jag brukar alltid
805 00:31:32,620 --> 00:31:34,500
förespråka om man ska vara effektiv
806 00:31:34,500 --> 00:31:36,400
och få ut mycket valuta för pengarna
807 00:31:36,400 --> 00:31:38,880
att man väljer white boxen snarare än black boxen.
808 00:31:39,120 --> 00:31:40,960
Ja, black box pen test
809 00:31:40,960 --> 00:31:41,200
ska
810 00:31:41,200 --> 00:31:44,120
anse jag i så fall.
811 00:31:44,340 --> 00:31:45,560
Det ska användas
812 00:31:45,560 --> 00:31:48,800
kanske framförallt
813 00:31:48,800 --> 00:31:50,480
för att testa readiness
814 00:31:50,480 --> 00:31:51,980
hos en säkerhetsteam.
815 00:31:51,980 --> 00:31:53,000
Det kan du vara väldigt bra för.
816 00:31:53,360 --> 00:31:55,860
Du ska ha gjort jävligt mycket säkerhetsarbete innan du
817 00:31:55,860 --> 00:31:57,660
kan försvara och slänga pengar
818 00:31:57,660 --> 00:31:58,500
på en black box grej.
819 00:31:58,580 --> 00:32:00,680
Eller om du har väldigt hög säkerhetsmognad.
820 00:32:01,360 --> 00:32:03,400
Om organisationen är fit for fight
821 00:32:03,400 --> 00:32:04,560
och behöver motioneras lite
822 00:32:04,560 --> 00:32:06,200
eller man vill göra ett riktigt test.
823 00:32:06,960 --> 00:32:08,800
Kolla om de verkligen klarar av
824 00:32:08,800 --> 00:32:09,740
ett angrepp.
825 00:32:10,300 --> 00:32:13,460
Du ska ha gjort förmodligen många
826 00:32:13,460 --> 00:32:15,480
white box tester innan du
827 00:32:15,480 --> 00:32:16,400
tänker på en black box.
828 00:32:16,400 --> 00:32:17,780
Från ett rent kostnadsperspektiv.
829 00:32:17,880 --> 00:32:20,620
Eller kostnadseffektivitetshåll.
830 00:32:21,860 --> 00:32:22,780
Annars är det ju
831 00:32:22,780 --> 00:32:24,700
dumhet där tycker jag.
832 00:32:25,200 --> 00:32:25,820
Och det tycker jag också.
833 00:32:25,820 --> 00:32:27,200
Där har vi en parallell till
834 00:32:27,200 --> 00:32:28,120
bug bounties egentligen.
835 00:32:28,280 --> 00:32:30,240
Bug bounties är typiskt black box tester.
836 00:32:31,640 --> 00:32:33,340
Jag tycker det är samma argumentation där.
837 00:32:33,480 --> 00:32:35,360
För att en organisation ska vara redo
838 00:32:35,360 --> 00:32:36,540
att jobba med bug bounties
839 00:32:36,540 --> 00:32:39,100
så måste man ha kommit ganska långt i sitt arbete.
840 00:32:40,360 --> 00:32:41,520
Både på
841 00:32:41,520 --> 00:32:43,180
säkerhetsnivån.
842 00:32:43,260 --> 00:32:45,620
Du måste ha en bra security stance.
843 00:32:45,820 --> 00:32:47,560
Du måste ha rätt bra koll på dina grejer
844 00:32:47,560 --> 00:32:49,180
för annars kommer det bli dyrt och kaos.
845 00:32:49,680 --> 00:32:51,340
Men du måste också ha en rätt bra
846 00:32:51,340 --> 00:32:53,700
organisation för att ta hand om
847 00:32:53,700 --> 00:32:55,120
rapporterna som kommer in.
848 00:32:55,120 --> 00:32:56,800
Du får ju räkna med att
849 00:32:56,800 --> 00:32:59,540
kör du ett bug bounty så är det ju syftet ändå att de ska hitta saker
850 00:32:59,540 --> 00:33:01,080
som du ska åtgärda.
851 00:33:01,180 --> 00:33:02,200
Och de kommer hitta saker.
852 00:33:02,620 --> 00:33:05,180
Och framförallt ifall du har ett bug bounty program där du betalar
853 00:33:05,180 --> 00:33:07,200
pengar för det så kommer du få massa skit
854 00:33:07,200 --> 00:33:08,440
dessutom så du måste rensa bort.
855 00:33:08,540 --> 00:33:08,940
Exakt.
856 00:33:10,880 --> 00:33:13,500
Och folk som vill stå på black hat och berätta hur coola de är.
857 00:33:14,220 --> 00:33:17,300
Och det är ju det andra perspektivet på bug bounty
858 00:33:17,300 --> 00:33:18,600
så det kan ju vara klokt att ha det
859 00:33:18,600 --> 00:33:20,560
för att det är billigare att betala någon
860 00:33:20,560 --> 00:33:22,860
liksom 5000 dollar
861 00:33:22,860 --> 00:33:23,620
än att
862 00:33:23,620 --> 00:33:26,740
dålig PR eller att de säljer det till någon
863 00:33:26,740 --> 00:33:27,560
på darknet.
864 00:33:29,440 --> 00:33:30,900
Men det är ju som du säger
865 00:33:30,900 --> 00:33:32,880
att man ska komma hit en bit innan man
866 00:33:32,880 --> 00:33:35,100
trycker på knappen på hacka one eller bug crowd
867 00:33:35,100 --> 00:33:36,800
för annars kommer du
868 00:33:36,800 --> 00:33:38,800
bli översvämmad och inte kunna
869 00:33:38,800 --> 00:33:39,860
hantera det och
870 00:33:39,860 --> 00:33:42,080
få kris och panik
871 00:33:42,080 --> 00:33:43,380
istället.
872 00:33:45,620 --> 00:33:47,200
Men då sammanfattar jag
873 00:33:47,200 --> 00:33:48,540
vad jag tror vi har sagt så här långt.
874 00:33:48,780 --> 00:33:51,280
Jag tror vi har sagt att review eller granskning
875 00:33:51,280 --> 00:33:53,220
det är ju typ någonting vi använder då kanske.
876 00:33:53,620 --> 00:33:54,900
Efter design
877 00:33:54,900 --> 00:33:56,220
eller under designfasen
878 00:33:56,220 --> 00:33:58,740
efter implementation eller under implementationsformen
879 00:33:58,740 --> 00:34:00,420
fasen och sen så går vi över
880 00:34:00,420 --> 00:34:02,620
i testläge och då kan vi använda ordet
881 00:34:02,620 --> 00:34:04,100
test som i pentest till exempel.
882 00:34:04,800 --> 00:34:06,760
Sorberhetsscan kan vara ett verktyg
883 00:34:06,760 --> 00:34:08,060
när vi gör pentester
884 00:34:08,060 --> 00:34:09,900
eller faktiskt när vi gör en audit också.
885 00:34:10,600 --> 00:34:12,240
Och audit det är någonting som kan
886 00:34:12,240 --> 00:34:14,080
egentligen göras när fan som helst
887 00:34:14,080 --> 00:34:16,260
och oftast kanske inte görs på
888 00:34:16,260 --> 00:34:18,880
systemnivå utan mer på organisationsnivå.
889 00:34:19,220 --> 00:34:20,600
Men så kan det innehålla krav
890 00:34:20,600 --> 00:34:22,440
som innefattar
891 00:34:22,440 --> 00:34:23,440
som pekar på de här ordet.
892 00:34:23,440 --> 00:34:23,460
Ja.
893 00:34:23,620 --> 00:34:26,260
Har vi sammanfattat orden då bra?
894 00:34:26,960 --> 00:34:28,340
Jag tror det. Typ så.
895 00:34:29,960 --> 00:34:30,980
Vi hade
896 00:34:30,980 --> 00:34:32,940
parentesat kodgranskning här också.
897 00:34:33,520 --> 00:34:34,620
Ja det blir ju ytterligare
898 00:34:34,620 --> 00:34:35,980
som en subkategori då.
899 00:34:36,100 --> 00:34:37,760
Det är ju som faller nästan under test
900 00:34:37,760 --> 00:34:40,120
men det är ju en implementationsreview kan man ju hämta.
901 00:34:40,120 --> 00:34:42,560
Det är också en, jag skulle lägga den
902 00:34:42,560 --> 00:34:44,260
under säkerhetsreview.
903 00:34:44,760 --> 00:34:46,380
Helst skulle jag väl lägga den under
904 00:34:46,380 --> 00:34:48,280
utvecklarens arbete.
905 00:34:48,840 --> 00:34:49,800
Ja men det är
906 00:34:49,800 --> 00:34:51,880
men du kan ha kodgranskning
907 00:34:51,880 --> 00:34:53,440
där du behöver säkerhet.
908 00:34:53,440 --> 00:34:55,440
Ja, jag är helt med på det.
909 00:34:55,440 --> 00:34:56,940
Och det kan ju vara en del i ett
910 00:34:56,940 --> 00:34:57,940
presentationstest också.
911 00:34:57,940 --> 00:34:59,940
Att du gör en
912 00:34:59,940 --> 00:35:00,680
eller är det?
913 00:35:00,680 --> 00:35:02,180
Ett white box test.
914 00:35:02,180 --> 00:35:02,680
Exakt, exakt.
915 00:35:02,680 --> 00:35:04,680
Där du gör en
916 00:35:04,680 --> 00:35:06,220
partial kodgranskning.
917 00:35:06,220 --> 00:35:07,520
Alltså du har tillgång till källkoden
918 00:35:07,520 --> 00:35:09,520
du kommer inte gå och sätta och läsa igenom varje rad.
919 00:35:09,520 --> 00:35:11,520
Men när du hittar missänd beteende
920 00:35:11,520 --> 00:35:13,520
så kommer du, kan du gå in och titta på
921 00:35:13,520 --> 00:35:15,520
hur fungerar den här funktionen för att kunna
922 00:35:15,520 --> 00:35:17,520
skapa det en svårighet och så vidare.
923 00:35:17,520 --> 00:35:19,520
Och jag menar även där så finns det ju verktyg.
924 00:35:19,520 --> 00:35:23,280
Alltså det finns ju systemstöd för kodgranskning.
925 00:35:23,280 --> 00:35:25,280
Ja, systematiserad kodgranskning finns det.
926 00:35:25,280 --> 00:35:27,280
Och även om de inte är lika effektiva
927 00:35:27,280 --> 00:35:29,280
som en riktigt duktig
928 00:35:29,280 --> 00:35:31,280
utvecklare med säkerhetshuvud.
929 00:35:31,280 --> 00:35:33,280
Ja, jag skulle vilja säga att i kombination
930 00:35:33,280 --> 00:35:34,280
är de effektiva.
931 00:35:34,280 --> 00:35:36,280
Både och där också för det kan ju finnas
932 00:35:36,280 --> 00:35:38,280
väldigt komplexa kodproblem
933 00:35:38,280 --> 00:35:40,280
som är jättesvårt för en människa att upptäcka.
934 00:35:40,280 --> 00:35:42,280
Men som är lätt för en dator.
935 00:35:42,280 --> 00:35:43,280
Om du tittar på
936 00:35:43,280 --> 00:35:45,280
20 million lines of code liksom.
937 00:35:45,280 --> 00:35:47,280
Ja eller såhär kolla på typ
938 00:35:47,280 --> 00:35:49,280
DOMXSS som ett exempel.
939 00:35:49,280 --> 00:35:51,280
Såhär du har
940 00:35:51,280 --> 00:35:53,280
ett input här som
941 00:35:53,280 --> 00:35:55,280
blir liksom 200 rader ner
942 00:35:55,280 --> 00:35:57,280
när du gått igenom en massa olika
943 00:35:57,280 --> 00:35:59,280
synks blir en DOMXSS.
944 00:35:59,280 --> 00:36:01,280
Jättesvårt för en människa
945 00:36:01,280 --> 00:36:03,280
att läsa igenom den javascriptkoden
946 00:36:03,280 --> 00:36:05,280
och upptäcka det.
947 00:36:05,280 --> 00:36:07,280
Men ganska lätt för en dator att följa
948 00:36:07,280 --> 00:36:09,280
de logiska vägarna och komma fram till att
949 00:36:09,280 --> 00:36:11,280
men här kommer det nog komma ut och filtrera.
950 00:36:11,280 --> 00:36:13,280
Och samma sak där, false positives liksom.
951 00:36:13,280 --> 00:36:15,280
Absolut och det kräver ju att det är
952 00:36:15,280 --> 00:36:17,280
en människa bakom spakan även där.
953 00:36:17,280 --> 00:36:19,280
Än så länge?
954 00:36:19,280 --> 00:36:21,280
Ja.
955 00:36:21,280 --> 00:36:23,280
Och så tycker jag det finns olika nivåer
956 00:36:23,280 --> 00:36:25,280
också med mig. Det finns ju granskningar som
957 00:36:25,280 --> 00:36:27,280
inte gräver superlångt ner i
958 00:36:27,280 --> 00:36:29,280
tekniken utan bara kollar såhär liksom
959 00:36:29,280 --> 00:36:31,280
ser arkitekturen okej ut på?
960 00:36:31,280 --> 00:36:33,280
Har ni valt rätt krypto i alla fall?
961 00:36:33,280 --> 00:36:35,280
På lite såhär flytande nivå.
962 00:36:35,280 --> 00:36:37,280
Bara kolla så att de inte
963 00:36:37,280 --> 00:36:39,280
har gjort bort sig helt utanför att den skulle
964 00:36:39,280 --> 00:36:41,280
gå ner och kolla på exakt vilket libba
965 00:36:41,280 --> 00:36:43,280
ni får göra detta.
966 00:36:43,280 --> 00:36:45,280
Ja precis.
967 00:36:45,280 --> 00:36:47,280
Jag tycker det är
968 00:36:47,280 --> 00:36:49,280
det viktiga är väl egentligen att
969 00:36:49,280 --> 00:36:51,280
man har någon form av föreställningar
970 00:36:51,280 --> 00:36:53,280
om vad är det, vilket resultat
971 00:36:53,280 --> 00:36:55,280
är det jag vill ha när jag beställer
972 00:36:55,280 --> 00:36:57,280
en säkerhetstjänst oavsett vilket
973 00:36:57,280 --> 00:36:59,280
namn vi väljer att sätta på det.
974 00:36:59,280 --> 00:37:01,280
Vill du ha en cykel eller en bil, båda kan vara bra
975 00:37:01,280 --> 00:37:03,280
beroende på vad du ska använda den till.
976 00:37:03,280 --> 00:37:05,280
Ja precis och det ena är bra i Göteborg i dag
977 00:37:05,280 --> 00:37:07,280
när de har grävts sönder i hela stan och det är omöjligt att köra bil.
978 00:37:07,280 --> 00:37:09,280
Och de har använts i tio åren iallafall.
979 00:37:11,280 --> 00:37:13,280
Vi parkerar jättelångt bort.
980 00:37:13,280 --> 00:37:15,280
Åh vad jobbigt för dig.
981 00:37:15,280 --> 00:37:17,280
Vad var det jag
982 00:37:17,280 --> 00:37:19,280
hade någonting för mig men jag kommer inte på,
983 00:37:19,280 --> 00:37:21,280
jag vill bara nämna att ni kommer säkert sitta här
984 00:37:21,280 --> 00:37:23,280
med en massa lyssnare nu och tycka att vi är helt dumma i huvudet
985 00:37:23,280 --> 00:37:25,280
och inte hålla med om en del av de här sakerna misstänker jag
986 00:37:25,280 --> 00:37:27,280
för att det här är ju semantiska diskussioner
987 00:37:27,280 --> 00:37:29,280
och de är ofta
988 00:37:29,280 --> 00:37:31,280
där har man ofta olika åsikter.
989 00:37:31,280 --> 00:37:33,280
Och ni hör ju att vi inte är riktigt överens om alla saker heller.
990 00:37:33,280 --> 00:37:35,280
Men skriv till oss
991 00:37:35,280 --> 00:37:37,280
så
992 00:37:37,280 --> 00:37:39,280
så funderar vi tillsammans.
993 00:37:39,280 --> 00:37:41,280
Då sätter vi ihop det i ett Google Doc och så blir det en standard.
994 00:37:41,280 --> 00:37:43,280
Ja då får Mattias göra det för han sa det.
995 00:37:43,280 --> 00:37:45,280
Nej men skriv till oss så att vi kan ha en levande
996 00:37:45,280 --> 00:37:47,280
diskussion. Vi finns på Twitter,
997 00:37:47,280 --> 00:37:49,280
attsakpodcasten. Det är inte dumt.
998 00:37:49,280 --> 00:37:51,280
Vi läser
999 00:37:51,280 --> 00:37:53,280
och svarar på allt som skrivs till oss
1000 00:37:53,280 --> 00:37:55,280
för det mesta.
1001 00:37:55,280 --> 00:37:57,280
Sen vill jag slå ett slag
1002 00:37:57,280 --> 00:37:59,280
för en metod
1003 00:37:59,280 --> 00:38:01,280
och det är också bara ett verktyg
1004 00:38:01,280 --> 00:38:03,280
så i rätt händelse är det bra.
1005 00:38:03,280 --> 00:38:05,280
Men hotmodellering
1006 00:38:05,280 --> 00:38:07,280
även om man gör ett
1007 00:38:07,280 --> 00:38:09,280
pen-test så kan man spara jävla
1008 00:38:09,280 --> 00:38:11,280
massa timmar. Och nu gick vi ner på en jobbig stig här.
1009 00:38:11,280 --> 00:38:13,280
Vad är en hotmodellering?
1010 00:38:13,280 --> 00:38:15,280
Och i skillnad från den ryska.
1011 00:38:15,280 --> 00:38:17,280
Precis!
1012 00:38:17,280 --> 00:38:19,280
Det är en väldigt stor skillnad faktiskt.
1013 00:38:19,280 --> 00:38:21,280
Men det är också ett ord som jag tror att folk
1014 00:38:21,280 --> 00:38:23,280
blandar ihop.
1015 00:38:23,280 --> 00:38:25,280
Hotmodellering och riskanalyser det är ju
1016 00:38:25,280 --> 00:38:27,280
när du tittar utifrån
1017 00:38:27,280 --> 00:38:29,280
dina förutsättningar
1018 00:38:29,280 --> 00:38:31,280
och dina
1019 00:38:31,280 --> 00:38:33,280
affärsprocesser
1020 00:38:33,280 --> 00:38:35,280
och ser vad är det som
1021 00:38:35,280 --> 00:38:37,280
skulle kunna hindra oss från att uppnå
1022 00:38:37,280 --> 00:38:39,280
vårat affärsmål.
1023 00:38:39,280 --> 00:38:41,280
Medan en hotmodellering
1024 00:38:41,280 --> 00:38:43,280
det handlar ju mer om att modellera
1025 00:38:43,280 --> 00:38:45,280
dataflöden
1026 00:38:45,280 --> 00:38:47,280
och använda
1027 00:38:47,280 --> 00:38:49,280
sig av en
1028 00:38:49,280 --> 00:38:51,280
systematisk metod.
1029 00:38:51,280 --> 00:38:53,280
Stride tycker du till exempel
1030 00:38:53,280 --> 00:38:55,280
tycker om
1031 00:38:55,280 --> 00:38:57,280
och pekar på Microsofts STL.
1032 00:38:57,280 --> 00:38:59,280
Som skulle kunna falla under en säkerhetsreview
1033 00:38:59,280 --> 00:39:01,280
här också.
1034 00:39:01,280 --> 00:39:03,280
Jag kan ju hävda då att till exempel
1035 00:39:03,280 --> 00:39:05,280
ett scenario som kommer fram i en hotmodellering
1036 00:39:05,280 --> 00:39:07,280
stride innefattar ju faktiskt en risk
1037 00:39:07,280 --> 00:39:09,280
för organisationen.
1038 00:39:09,280 --> 00:39:11,280
I en riskanalys så är hotmodellering
1039 00:39:11,280 --> 00:39:13,280
en del. Absolut!
1040 00:39:13,280 --> 00:39:15,280
I säkerhetsskyddsarbetet
1041 00:39:15,280 --> 00:39:17,280
nu glider vi långt bort
1042 00:39:17,280 --> 00:39:19,280
ifrån den här tavlan men
1043 00:39:19,280 --> 00:39:21,280
där pratar man ju alltså om en dimensionerande
1044 00:39:21,280 --> 00:39:23,280
hotbild. Oj, det var ett fint ord.
1045 00:39:23,280 --> 00:39:25,280
Man jobbar
1046 00:39:25,280 --> 00:39:27,280
inte med sannolikheter
1047 00:39:27,280 --> 00:39:29,280
för att en
1048 00:39:29,280 --> 00:39:31,280
risk ska inträffa
1049 00:39:31,280 --> 00:39:33,280
i en säkerhetsskyddsanalys.
1050 00:39:33,280 --> 00:39:35,280
Utan man har dimensionerande hotbilder
1051 00:39:35,280 --> 00:39:37,280
där man tittar på antagonistiska hot.
1052 00:39:37,280 --> 00:39:39,280
Det är en intressant
1053 00:39:39,280 --> 00:39:41,280
jag fattar.
1054 00:39:41,280 --> 00:39:43,280
Risk är väl en resultat
1055 00:39:43,280 --> 00:39:45,280
av likely to do impact
1056 00:39:45,280 --> 00:39:47,280
eller? Faktiskt
1057 00:39:47,280 --> 00:39:49,280
så är det så här att man tittar då
1058 00:39:51,280 --> 00:39:53,280
utifrån hotaktörer
1059 00:39:53,280 --> 00:39:55,280
det vill säga främmande makt
1060 00:39:55,280 --> 00:39:57,280
främst som då
1061 00:39:57,280 --> 00:39:59,280
vill på något
1062 00:39:59,280 --> 00:40:01,280
vis stoppa
1063 00:40:01,280 --> 00:40:03,280
din verksamhet
1064 00:40:03,280 --> 00:40:05,280
eller orsaka
1065 00:40:05,280 --> 00:40:07,280
fara för liv och
1066 00:40:07,280 --> 00:40:09,280
lämn.
1067 00:40:09,280 --> 00:40:11,280
Särskilt lämn.
1068 00:40:11,280 --> 00:40:13,280
Utifrån det då så tittar
1069 00:40:13,280 --> 00:40:15,280
man på vad skulle de kunna göra
1070 00:40:15,280 --> 00:40:17,280
för att liksom orsaka
1071 00:40:17,280 --> 00:40:19,280
maximal skada för
1072 00:40:19,280 --> 00:40:21,280
organisationen eller samhället.
1073 00:40:21,280 --> 00:40:23,280
Och det här tar man då upp och sen så tittar man på
1074 00:40:23,280 --> 00:40:25,280
hur kan vi? Men det blir ju ett scenario typ.
1075 00:40:25,280 --> 00:40:27,280
Man börjar bakifrån. Men jag ser inte
1076 00:40:27,280 --> 00:40:29,280
skillnaden här för det här blir ju ett scenario
1077 00:40:29,280 --> 00:40:31,280
som då har en probability och en impact.
1078 00:40:31,280 --> 00:40:33,280
Fast man jobbar inte med probability. Du tittar bara på
1079 00:40:33,280 --> 00:40:35,280
impact och
1080 00:40:35,280 --> 00:40:37,280
Så allting viktas likadant då?
1081 00:40:37,280 --> 00:40:39,280
Okej, du hittar
1082 00:40:39,280 --> 00:40:41,280
scenario och så viktar du dem i impact och så
1083 00:40:41,280 --> 00:40:43,280
jobbar du på att minska probability.
1084 00:40:43,280 --> 00:40:45,280
Precis. Men när är du nöjd då?
1085 00:40:45,280 --> 00:40:47,280
Nej, det gör man aldrig. Nej, utan det är
1086 00:40:47,280 --> 00:40:49,280
iterativt jobb egentligen. Så det är inte ett sätt
1087 00:40:49,280 --> 00:40:51,280
att skala vilka risker vi har utan
1088 00:40:51,280 --> 00:40:53,280
det är bara ett sätt att minska risk hela tiden.
1089 00:40:53,280 --> 00:40:55,280
Om du har då ett
1090 00:40:55,280 --> 00:40:57,280
low impact case
1091 00:40:57,280 --> 00:40:59,280
men som har super high probability
1092 00:40:59,280 --> 00:41:01,280
ska det fortfarande
1093 00:41:01,280 --> 00:41:03,280
inte… Det går ju på.
1094 00:41:03,280 --> 00:41:05,280
Alltså om vi då pratar
1095 00:41:05,280 --> 00:41:07,280
säkerhetsskyddsanalys. Där kommer tre upp
1096 00:41:07,280 --> 00:41:09,280
utan det kommer andra analyser.
1097 00:41:09,280 --> 00:41:11,280
Det har du i din RSA då, risk och sårbarhetsanalys.
1098 00:41:11,280 --> 00:41:13,280
Just det, det är därför
1099 00:41:13,280 --> 00:41:15,280
hotmodellering och risk och sårbarhetsanalys. Ja, ni är här, lyssnare.
1100 00:41:15,280 --> 00:41:17,280
Det finns så mycket ord. Fan vad vi kan gräva i det här.
1101 00:41:17,280 --> 00:41:19,280
Men nu blir det jobbigt på riktigt.
1102 00:41:19,280 --> 00:41:21,280
Men det är ju en annan, alltså
1103 00:41:21,280 --> 00:41:23,280
det är förebyggande och det är väl
1104 00:41:23,280 --> 00:41:25,280
i viss mån en säkerhetsreview och en pentest
1105 00:41:25,280 --> 00:41:27,280
och allt det vi har på talan. Ja, hotmodellering
1106 00:41:27,280 --> 00:41:29,280
och riskanalys. Ja, för sen kan man ju
1107 00:41:29,280 --> 00:41:31,280
annars gå ner och börja prata om
1108 00:41:31,280 --> 00:41:33,280
root cause-analys och sånt.
1109 00:41:33,280 --> 00:41:35,280
After the fact.
1110 00:41:35,280 --> 00:41:37,280
Precis det som jag sitter med
1111 00:41:37,280 --> 00:41:39,280
nu liksom och benar igenom
1112 00:41:39,280 --> 00:41:41,280
ett system. Forensiska analyser och sånt.
1113 00:41:41,280 --> 00:41:43,280
Där man då ska ta reda på
1114 00:41:43,280 --> 00:41:45,280
vad var det som gick snett? Vad kommer
1115 00:41:45,280 --> 00:41:47,280
de över och
1116 00:41:47,280 --> 00:41:49,280
hur kan vi
1117 00:41:49,280 --> 00:41:51,280
hindra det från att hända igen? Där har jag en
1118 00:41:51,280 --> 00:41:53,280
fråga, för jag vet inte riktigt hur det ser ut på
1119 00:41:53,280 --> 00:41:55,280
på forensikfronten, men på
1120 00:41:55,280 --> 00:41:57,280
på den offensiva säkerhetsfronten
1121 00:41:57,280 --> 00:41:59,280
om man säger så där, så har vi ju
1122 00:41:59,280 --> 00:42:01,280
automatiserade kodgranskningsverktyg, vi har
1123 00:42:01,280 --> 00:42:03,280
automatiserade sårbarhetsscanners och så vidare.
1124 00:42:03,280 --> 00:42:05,280
Finns det automatiserade
1125 00:42:05,280 --> 00:42:07,280
forensikverktyg som folk
1126 00:42:07,280 --> 00:42:09,280
försöker kränga rapporter från?
1127 00:42:11,280 --> 00:42:13,280
Det finns ju för de lättaste fallen.
1128 00:42:13,280 --> 00:42:15,280
Typ det här, mitt
1129 00:42:15,280 --> 00:42:17,280
SP har gått sönder, jag vill hitta
1130 00:42:17,280 --> 00:42:19,280
alla mina bilder igen.
1131 00:42:19,280 --> 00:42:21,280
Med data recovery.
1132 00:42:21,280 --> 00:42:23,280
Det är ju Carvers det också liksom.
1133 00:42:23,280 --> 00:42:25,280
Jo. Men då hjälper det inte till så mycket
1134 00:42:25,280 --> 00:42:27,280
med timelines och sånt där.
1135 00:42:27,280 --> 00:42:29,280
Jag skulle säga att det finns
1136 00:42:29,280 --> 00:42:31,280
ganska mycket open source.
1137 00:42:31,280 --> 00:42:33,280
Och sen så finns det ju de
1138 00:42:33,280 --> 00:42:35,280
stora drakarna, det är Forensic Toolkit
1139 00:42:35,280 --> 00:42:37,280
och NCase.
1140 00:42:37,280 --> 00:42:39,280
Men de är ju baktryck, men
1141 00:42:39,280 --> 00:42:41,280
det jag försöker komma till är väl
1142 00:42:41,280 --> 00:42:43,280
Kan man trycka next, next, next någonstans?
1143 00:42:43,280 --> 00:42:45,280
Och finns det folk som gör det och försöker
1144 00:42:45,280 --> 00:42:47,280
sälja det som är tjänst?
1145 00:42:47,280 --> 00:42:49,280
Kan de hjälpa dig?
1146 00:42:49,280 --> 00:42:51,280
Nej, jag säger att det är…
1147 00:42:51,280 --> 00:42:53,280
Finns det wizards?
1148 00:42:53,280 --> 00:42:55,280
Så kan du som i Burp gå in och säga
1149 00:42:55,280 --> 00:42:57,280
sätt på scannen, tryck ut rapporten
1150 00:42:57,280 --> 00:42:59,280
Inte i samma utsträckning, alltså
1151 00:42:59,280 --> 00:43:01,280
NCase kommer någonting nytt nu som
1152 00:43:01,280 --> 00:43:03,280
skulle vara
1153 00:43:03,280 --> 00:43:05,280
vad hette det, Watson eller någonting sånt där.
1154 00:43:05,280 --> 00:43:07,280
Nej men det var typ en
1155 00:43:07,280 --> 00:43:09,280
nej, det var någon annan sidekick.
1156 00:43:09,280 --> 00:43:11,280
Skitsamma.
1157 00:43:11,280 --> 00:43:13,280
Robin.
1158 00:43:13,280 --> 00:43:15,280
Det var Robin eller Batman
1159 00:43:15,280 --> 00:43:17,280
eller Watson, jag kommer inte ihåg.
1160 00:43:17,280 --> 00:43:19,280
Jag fick inte erbjuda någon om det där.
1161 00:43:19,280 --> 00:43:21,280
World’s greatest detective.
1162 00:43:21,280 --> 00:43:23,280
Men det här var
1163 00:43:23,280 --> 00:43:25,280
snarare ett stödverktyg
1164 00:43:25,280 --> 00:43:27,280
för e-discovery.
1165 00:43:27,280 --> 00:43:29,280
Och där finns det mycket
1166 00:43:29,280 --> 00:43:31,280
för användarna har vi
1167 00:43:31,280 --> 00:43:33,280
e-discovery-advokater, de är inte tekniska
1168 00:43:33,280 --> 00:43:35,280
de vill bara ge mig
1169 00:43:35,280 --> 00:43:37,280
alla sökord, eller
1170 00:43:37,280 --> 00:43:39,280
alla dokument med sökordet
1171 00:43:39,280 --> 00:43:41,280
cartell.
1172 00:43:41,280 --> 00:43:43,280
Så det är det
1173 00:43:43,280 --> 00:43:45,280
man skriver i sina e-mail.
1174 00:43:45,280 --> 00:43:47,280
Jag lyssnar mycket på cartellen.
1175 00:43:47,280 --> 00:43:49,280
Ja, så kan det vara.
1176 00:43:49,280 --> 00:43:51,280
Nej men
1177 00:43:51,280 --> 00:43:53,280
jag skulle vilja säga att
1178 00:43:53,280 --> 00:43:55,280
det finns
1179 00:43:55,280 --> 00:43:57,280
open source-verktygen är bättre
1180 00:43:57,280 --> 00:43:59,280
på det här med automatisering
1181 00:43:59,280 --> 00:44:01,280
alltså log to timeline
1182 00:44:01,280 --> 00:44:03,280
och alltså de här
1183 00:44:03,280 --> 00:44:05,280
riktigt överskådliga
1184 00:44:05,280 --> 00:44:07,280
bra grejerna
1185 00:44:07,280 --> 00:44:09,280
som
1186 00:44:09,280 --> 00:44:11,280
liksom processar
1187 00:44:11,280 --> 00:44:13,280
för de är ofta skrivna
1188 00:44:13,280 --> 00:44:15,280
av forensiker som har
1189 00:44:15,280 --> 00:44:17,280
sett ett behov av detta, antingen så har de
1190 00:44:17,280 --> 00:44:19,280
suttit och gjort det manuellt i tio
1191 00:44:19,280 --> 00:44:21,280
fall och kommit på att det här
1192 00:44:21,280 --> 00:44:23,280
måste gå att göra bättre.
1193 00:44:23,280 --> 00:44:25,280
Jag
1194 00:44:25,280 --> 00:44:27,280
kan känna att
1195 00:44:27,280 --> 00:44:29,280
nu jobbar jag mest med
1196 00:44:29,280 --> 00:44:31,280
FDK och kan inte uttala mig
1197 00:44:31,280 --> 00:44:33,280
jättemycket om en case men
1198 00:44:33,280 --> 00:44:35,280
den här
1199 00:44:35,280 --> 00:44:37,280
timeline-grejen
1200 00:44:37,280 --> 00:44:39,280
saknar jag helt
1201 00:44:39,280 --> 00:44:41,280
funktioner för. Det jag skulle vilja
1202 00:44:41,280 --> 00:44:43,280
säga är att ge mig alla
1203 00:44:43,280 --> 00:44:45,280
händelser i systemet runt den här
1204 00:44:45,280 --> 00:44:47,280
tiden, filhändelser,
1205 00:44:47,280 --> 00:44:49,280
register-entries,
1206 00:44:49,280 --> 00:44:51,280
log-entries,
1207 00:44:51,280 --> 00:44:53,280
vad har hänt vid
1208 00:44:53,280 --> 00:44:55,280
det här tillfället.
1209 00:44:55,280 --> 00:44:57,280
Det finns inte alltså? Nej, inte.
1210 00:44:57,280 --> 00:44:59,280
Jag kanske bara är kass.
1211 00:45:01,280 --> 00:45:03,280
Men jag har någon FDK-expert där ute som
1212 00:45:03,280 --> 00:45:05,280
kan rättvisa.
1213 00:45:05,280 --> 00:45:07,280
Men nej, för mig
1214 00:45:07,280 --> 00:45:09,280
så är det andra verktyg jag använder för det.
1215 00:45:09,280 --> 00:45:11,280
Men det känns ändå inte som att
1216 00:45:11,280 --> 00:45:13,280
det finns den här
1217 00:45:13,280 --> 00:45:15,280
motsvarande, samlande,
1218 00:45:15,280 --> 00:45:17,280
på samma sätt.
1219 00:45:17,280 --> 00:45:19,280
Det är oftast en form av analys
1220 00:45:19,280 --> 00:45:21,280
som ingår i forensiskt arbete.
1221 00:45:21,280 --> 00:45:23,280
Precis.
1222 00:45:23,280 --> 00:45:25,280
Sen är det inte rocket science,
1223 00:45:25,280 --> 00:45:27,280
det handlar om att korrelera händelser,
1224 00:45:27,280 --> 00:45:29,280
att lägga ett pussel.
1225 00:45:29,280 --> 00:45:31,280
Det är mycket det det handlar om.
1226 00:45:35,280 --> 00:45:37,280
När man har fått nere
1227 00:45:37,280 --> 00:45:39,280
det till en hanterbar
1228 00:45:39,280 --> 00:45:41,280
tidsrymd så vill man gärna se alla
1229 00:45:41,280 --> 00:45:43,280
händelser i systemet vid den här
1230 00:45:43,280 --> 00:45:45,280
tidpunkten. Och då är det
1231 00:45:45,280 --> 00:45:47,280
tyvärr många
1232 00:45:47,280 --> 00:45:49,280
verktyg man behöver, än så länge.
1233 00:45:49,280 --> 00:45:51,280
Ja, just det.
1234 00:45:51,280 --> 00:45:53,280
Det finns ett marknadspotential.
1235 00:45:53,280 --> 00:45:55,280
Sluta pilla på ditt puffskydd.
1236 00:45:55,280 --> 00:45:57,280
Ja, förlåt.
1237 00:45:57,280 --> 00:45:59,280
Sen får…
1238 00:45:59,280 --> 00:46:01,280
Det är det jag gillar lite med Burp,
1239 00:46:01,280 --> 00:46:03,280
det är ju ett betalverktyg
1240 00:46:03,280 --> 00:46:05,280
ifall man vill använda alla funktioner.
1241 00:46:05,280 --> 00:46:07,280
Men sen har de ju sin
1242 00:46:07,280 --> 00:46:09,280
interna appstore
1243 00:46:09,280 --> 00:46:11,280
där vem som helst kan bygga skript
1244 00:46:11,280 --> 00:46:13,280
till programmet och lägga upp
1245 00:46:13,280 --> 00:46:15,280
så man kan ladda ner.
1246 00:46:15,280 --> 00:46:17,280
Det är ju ett tredjepartskript, står det.
1247 00:46:17,280 --> 00:46:19,280
Men det är ju
1248 00:46:19,280 --> 00:46:21,280
nice för att där sker det
1249 00:46:21,280 --> 00:46:23,280
hyfsat mycket communityutveckling
1250 00:46:23,280 --> 00:46:25,280
av grejer som
1251 00:46:25,280 --> 00:46:27,280
är riktigt schysst att ha i programmet.
1252 00:46:27,280 --> 00:46:29,280
Det blev en liten plug
1253 00:46:29,280 --> 00:46:31,280
för Burp där, men det är väl
1254 00:46:31,280 --> 00:46:33,280
kommer väl inte som en chocker för någon som
1255 00:46:33,280 --> 00:46:35,280
har lyssnat på det här programmet förut.
1256 00:46:35,280 --> 00:46:37,280
Jag svor lite över FTK här om
1257 00:46:37,280 --> 00:46:39,280
en månad när jag skulle
1258 00:46:39,280 --> 00:46:41,280
uppdatera min licens och då kunde man inte köpa den
1259 00:46:41,280 --> 00:46:43,280
utan att köpa software
1260 00:46:43,280 --> 00:46:45,280
license subscription
1261 00:46:45,280 --> 00:46:47,280
i minst ett år.
1262 00:46:47,280 --> 00:46:49,280
Den gick genast upp med
1263 00:46:49,280 --> 00:46:51,280
30% kostnader.
1264 00:46:51,280 --> 00:46:53,280
Damn, good luck headphone.
1265 00:46:53,280 --> 00:46:55,280
Men ja, det känns
1266 00:46:55,280 --> 00:46:57,280
som att vi inte kommer så mycket längre kanske.
1267 00:46:57,280 --> 00:46:59,280
Eller vad känner ni?
1268 00:46:59,280 --> 00:47:01,280
Har ni några kloka…
1269 00:47:01,280 --> 00:47:03,280
Jag vet inte, jag tror att det här känns som att vi har
1270 00:47:03,280 --> 00:47:05,280
påbörjat en diskussion.
1271 00:47:05,280 --> 00:47:07,280
Vi har kastat ut en brandfackla.
1272 00:47:07,280 --> 00:47:09,280
Vi har skapat mer förvirring.
1273 00:47:09,280 --> 00:47:11,280
Har vi fel så skäll på oss.
1274 00:47:11,280 --> 00:47:13,280
Har vi rätt så säger vi ännu mer till.
1275 00:47:13,280 --> 00:47:15,280
Men just det här
1276 00:47:15,280 --> 00:47:17,280
som jag känner
1277 00:47:17,280 --> 00:47:19,280
där det behöver
1278 00:47:19,280 --> 00:47:21,280
städas upp
1279 00:47:21,280 --> 00:47:23,280
och det är just i
1280 00:47:23,280 --> 00:47:25,280
skillnaden mellan en
1281 00:47:25,280 --> 00:47:27,280
kvalificerad granskning
1282 00:47:27,280 --> 00:47:29,280
med någon
1283 00:47:29,280 --> 00:47:31,280
med erfarenhet och
1284 00:47:31,280 --> 00:47:33,280
hjärna som har
1285 00:47:33,280 --> 00:47:35,280
lagt en hand vid det och
1286 00:47:35,280 --> 00:47:37,280
ökat värdet
1287 00:47:37,280 --> 00:47:39,280
av materialet
1288 00:47:39,280 --> 00:47:41,280
och en automatiserad
1289 00:47:41,280 --> 00:47:43,280
dummy scan
1290 00:47:43,280 --> 00:47:45,280
som ingen ens har tittat på.
1291 00:47:45,280 --> 00:47:47,280
Automatiserad kontra manuell.
1292 00:47:47,280 --> 00:47:49,280
Sen kan jag tycka såhär att
1293 00:47:49,280 --> 00:47:51,280
det är ju de företag som
1294 00:47:51,280 --> 00:47:53,280
levererar kvalificerade
1295 00:47:53,280 --> 00:47:55,280
tjänster i de här.
1296 00:47:55,280 --> 00:47:57,280
Det får vara tydligt vad det är de levererar.
1297 00:47:57,280 --> 00:47:59,280
Det här är bra skit.
1298 00:47:59,280 --> 00:48:01,280
Det är inte någon papperstiger från ingenstans.
1299 00:48:01,280 --> 00:48:03,280
Om kunden inte ser skillnad
1300 00:48:03,280 --> 00:48:05,280
på en bra grej och en dålig grej
1301 00:48:05,280 --> 00:48:07,280
då kanske det är bättre att köpa den dåliga grejen.
1302 00:48:07,280 --> 00:48:09,280
Då har de bränt mindre pengar.
1303 00:48:09,280 --> 00:48:11,280
De kommer ju inte använda skiten ändå.
1304 00:48:11,280 --> 00:48:13,280
Det är ju alltid
1305 00:48:13,280 --> 00:48:15,280
upp till kunden i slutändan.
1306 00:48:15,280 --> 00:48:17,280
De får ju det de köper men
1307 00:48:17,280 --> 00:48:19,280
det är väl kanske den stora frågan som vi får tackla
1308 00:48:19,280 --> 00:48:21,280
vid ett annat tillfälle. Hur utbildar vi bäst
1309 00:48:21,280 --> 00:48:23,280
våra köpare?
1310 00:48:23,280 --> 00:48:25,280
Hur får vi bättre köpare?
1311 00:48:25,280 --> 00:48:27,280
Men jag tror att det är ett avsnitt
1312 00:48:27,280 --> 00:48:29,280
kanske för ett senare tillfälle
1313 00:48:29,280 --> 00:48:31,280
eller ett samhällsproblem som vi får tackla
1314 00:48:31,280 --> 00:48:33,280
över en öl eller fem.
1315 00:48:33,280 --> 00:48:35,280
Och tills dess kommer vi att städa upp
1316 00:48:35,280 --> 00:48:37,280
problemen med våra forensiska verktyg.
1317 00:48:37,280 --> 00:48:39,280
Precis.
1318 00:48:39,280 --> 00:48:41,280
Med de orden
1319 00:48:41,280 --> 00:48:43,280
så skulle vi vilja tacka för
1320 00:48:43,280 --> 00:48:45,280
dagens avsnitt. Hoppas att ni hade kul
1321 00:48:45,280 --> 00:48:47,280
som lyssnade. Det hade vi som pratade i alla fall.
1322 00:48:47,280 --> 00:48:49,280
De som gjorde det var jag, Johan Rudberg Möller
1323 00:48:49,280 --> 00:48:51,280
och Mattias Yrdhagen.
1324 00:48:51,280 --> 00:48:53,280
Och Rickard Bodfors som ska tillbaka
1325 00:48:53,280 --> 00:48:55,280
där vi kom. Ha det så bra nu.
1326 00:48:55,280 --> 00:48:57,280
Hej.
1327 00:49:03,280 --> 00:49:05,280
Undertextning.nu