Säkerhetspodcasten avs.89 - Vault7
Lyssna
Innehåll
Panelen gräver ner sig i den senaste läckan från Wikileaks, Vault7!
Inspelat: 2017-03-09. Längd: 00:40:11.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,960 --> 00:00:04,040
Hej och välkommen till Säkerhetspodcasten.
2 00:00:04,840 --> 00:00:09,720
Jag som pratar idag heter Rickard Brodfors och med mig har jag Peter Magnusson.
3 00:00:10,000 --> 00:00:10,700
Den unda.
4 00:00:11,380 --> 00:00:12,460
Mattias Gidhage.
5 00:00:12,740 --> 00:00:13,120
Tjena hej!
6 00:00:13,660 --> 00:00:15,440
Och Jesper Larsson.
7 00:00:17,100 --> 00:00:20,000
Tyvärr har vi inte Johan med oss idag, han ligger hemma med…
8 00:00:20,760 --> 00:00:21,680
Han ligger gravid med en val.
9 00:00:21,760 --> 00:00:23,220
He’s indisposed, som vi säger.
10 00:00:23,220 --> 00:00:30,280
Vi är sponsrade idag av ett eminent säkerhetsföretag som heter Ashward.
11 00:00:30,500 --> 00:00:33,500
Läs mer om dem på www.ashward.se
12 00:00:33,500 --> 00:00:39,520
Oss kan ni läsa om på www.sakerhetspodcasten.se
13 00:00:39,520 --> 00:00:42,320
Och hitta oss på diverse sociala kanaler.
14 00:00:43,340 --> 00:00:45,420
Sakpodcasten på oss i Twitter och nät.
15 00:00:45,680 --> 00:00:45,960
Yes!
16 00:00:46,820 --> 00:00:49,280
Och Facebook slash säkerhetspodcasten, eller?
17 00:00:49,420 --> 00:00:50,360
Sakerhetspodcasten kanske?
18 00:00:50,540 --> 00:00:51,180
Någon som vet?
19 00:00:51,180 --> 00:00:51,800
Det låter rimligt.
20 00:00:51,880 --> 00:00:53,040
Googla skiten i det.
21 00:00:53,220 --> 00:00:56,100
Ja, eller DuckDuckGo.
22 00:00:56,680 --> 00:00:57,540
Va? På riktigt?
23 00:00:57,660 --> 00:00:57,760
Nej.
24 00:00:59,640 --> 00:01:02,160
Hade vi inte till och med ett AskFM-konto?
25 00:01:02,240 --> 00:01:02,860
Jo, jag tror det.
26 00:01:02,980 --> 00:01:04,240
Är det någon som varit inne och tittat på det?
27 00:01:04,320 --> 00:01:04,780
Nej, inte jag.
28 00:01:05,680 --> 00:01:06,840
Det finns säkert hundra frågor.
29 00:01:06,840 --> 00:01:07,640
Så gå inte dit.
30 00:01:07,760 --> 00:01:08,420
Nej, jag gör inte det.
31 00:01:08,620 --> 00:01:09,760
Glöm till och med att jag sa det.
32 00:01:10,080 --> 00:01:15,020
Det här avsnittet idag tänkte vi försöka hålla lite strukturerat.
33 00:01:15,400 --> 00:01:19,280
Och vi hintade ju lite om i förra avsnittet vad vi ska prata om här.
34 00:01:19,280 --> 00:01:22,920
Det har ju dumpats lite intressanta filer.
35 00:01:23,220 --> 00:01:24,300
The Interwebs.
36 00:01:24,880 --> 00:01:26,120
Precis, så är det faktiskt.
37 00:01:26,620 --> 00:01:30,540
Och vi vet ju faktiskt inte om det här avsnittet är det avsnittet som kommer efter det andra avsnittet.
38 00:01:31,100 --> 00:01:32,460
Det är alltid så rörigt det där.
39 00:01:32,600 --> 00:01:34,800
Men just nu när ni lyssnar på det här så sänds det i alla fall.
40 00:01:35,280 --> 00:01:38,540
Ja, precis. Det här är ingen hägring det här.
41 00:01:38,720 --> 00:01:40,140
Det är på riktigt. Det händer faktiskt nu.
42 00:01:40,480 --> 00:01:41,520
Volt 7.
43 00:01:41,720 --> 00:01:42,780
Ja, det är alltså Wikileaks.
44 00:01:43,480 --> 00:01:48,740
Ska vi vara helt ärliga så vet vi egentligen ingenting om autenticiteten i det här.
45 00:01:48,740 --> 00:01:51,480
Men om vi låtsas att vi tror på Wikileaks för en stund.
46 00:01:52,280 --> 00:01:53,140
Så har de alltså.
47 00:01:53,220 --> 00:01:58,420
En dump ifrån CIA som är den största någonsin.
48 00:01:59,500 --> 00:02:01,800
Och de har nu släppt en del bara.
49 00:02:02,020 --> 00:02:05,180
Det är inte hela utan bara en del som de kallar för Year Zero.
50 00:02:05,420 --> 00:02:05,620
Precis.
51 00:02:06,000 --> 00:02:10,720
Och hela dumpen ska ju innehålla 8700 filer.
52 00:02:10,980 --> 00:02:14,560
Och de har ju släppt en del av detta nu då egentligen.
53 00:02:15,780 --> 00:02:20,640
Och ingen av panelerna har egentligen sprungit igenom hela dumpen ännu.
54 00:02:22,060 --> 00:02:22,840
Men vi har.
55 00:02:22,840 --> 00:02:24,060
Jag har börjat titta lite.
56 00:02:24,140 --> 00:02:26,400
Jag har börjat titta på de lösa filerna framförallt.
57 00:02:26,520 --> 00:02:27,460
Det är ju ett CMS.
58 00:02:27,740 --> 00:02:28,060
Eller det är någon.
59 00:02:28,280 --> 00:02:29,020
Det är ju.
60 00:02:29,280 --> 00:02:34,680
Jag vet inte om det är Wikileaks CMS för att bara publicera datat läsligt.
61 00:02:34,820 --> 00:02:35,240
Ja, men så är det.
62 00:02:35,280 --> 00:02:36,980
De har lagt upp det i Confluence.
63 00:02:37,580 --> 00:02:39,740
Så att det ska vara läsbart och sökbart och så vidare.
64 00:02:39,740 --> 00:02:44,660
Och det är väl material insamlat mellan 2013 och 2016 om jag förstod det rätt.
65 00:02:45,000 --> 00:02:47,160
Ja, ish skulle jag säga.
66 00:02:47,820 --> 00:02:51,100
Men det som jag tycker blir tydligt när man tittar på det här.
67 00:02:51,260 --> 00:02:52,820
Det är att det känns lite.
68 00:02:52,840 --> 00:02:54,680
Det känns lite som en kollaborationsplattform.
69 00:02:55,120 --> 00:02:55,660
Mer än liksom.
70 00:02:55,980 --> 00:02:57,540
Någon file share eller någonting.
71 00:02:57,900 --> 00:02:59,720
Ja, eller kanske rent av att.
72 00:03:00,280 --> 00:03:01,140
Ja, men en wiki.
73 00:03:01,340 --> 00:03:01,680
Precis.
74 00:03:01,980 --> 00:03:04,780
Där man kan ladda upp, ladda ner, fixa och trixa.
75 00:03:04,900 --> 00:03:09,060
Det är oändligt med screenshots på olika manövrar.
76 00:03:09,160 --> 00:03:15,200
Där man till exempel då visar med screenshots hur man kör ett implantat.
77 00:03:15,320 --> 00:03:17,960
Eller hur man exekverar.
78 00:03:18,360 --> 00:03:21,900
Eller kör en del av en injection i olika prylar då.
79 00:03:21,900 --> 00:03:22,460
Men.
80 00:03:22,840 --> 00:03:26,160
Det som slår mig när jag tittar på det här.
81 00:03:26,300 --> 00:03:28,400
Det är att det är liksom inte.
82 00:03:29,540 --> 00:03:32,440
Det är inte lite hacksor-känsla man får direkt.
83 00:03:32,560 --> 00:03:34,400
Att de här grabbarna är fan bäst i världen.
84 00:03:34,480 --> 00:03:35,360
Utan det känns mer som att.
85 00:03:35,800 --> 00:03:37,340
Ja, men vi lägger allting vi har jobbat.
86 00:03:37,440 --> 00:03:39,700
Det ser ungefär ut som en download-mapp ser det ut som.
87 00:03:40,060 --> 00:03:41,280
Det ligger allt möjligt där.
88 00:03:41,740 --> 00:03:44,620
Alltså det ligger lite CTF-uppgifter.
89 00:03:44,880 --> 00:03:46,120
Det ligger lite screenshot.
90 00:03:46,340 --> 00:03:47,640
Det ligger lite emosar.
91 00:03:47,800 --> 00:03:49,780
Eller emo-coins grejer.
92 00:03:50,100 --> 00:03:51,040
Det ligger giffar.
93 00:03:51,040 --> 00:03:52,560
Alltså det ligger allt möjligt här.
94 00:03:52,560 --> 00:03:56,000
Alltså det är både nytt och gammalt egentligen.
95 00:03:56,220 --> 00:03:59,620
Och inget så här att det har bara med källkod att göra.
96 00:03:59,840 --> 00:04:00,380
Utan det är liksom.
97 00:04:01,240 --> 00:04:05,800
Det kan vara utvecklingssnuttar, patchar, implantat.
98 00:04:06,720 --> 00:04:08,500
Lite om någon IP-växel.
99 00:04:08,700 --> 00:04:11,940
Lite om något ramverk.
100 00:04:12,260 --> 00:04:13,520
Hur man använder Git.
101 00:04:14,040 --> 00:04:18,260
Det är väl lite som en stockpile av junk.
102 00:04:18,420 --> 00:04:19,460
Bara massa bröte.
103 00:04:19,460 --> 00:04:22,460
Men det skulle kunna vara lite digitalt.
104 00:04:22,560 --> 00:04:24,560
Intranet där de har fått…
105 00:04:24,560 --> 00:04:26,860
Ja, men det refereras ju ibland till någonting som heter DevNet.
106 00:04:26,860 --> 00:04:27,860
Som verkar vara…
107 00:04:27,860 --> 00:04:29,860
Och något annat som heter Stash tror jag.
108 00:04:30,300 --> 00:04:32,860
Som verkar vara på något sätt deras repo.
109 00:04:33,620 --> 00:04:36,920
Eller deras kollaborationsplattform.
110 00:04:37,040 --> 00:04:39,720
Där de har sina verktyg och lite rutiner.
111 00:04:39,800 --> 00:04:40,480
Hur gör man detta?
112 00:04:40,560 --> 00:04:41,140
Hur gör man detta?
113 00:04:42,400 --> 00:04:43,600
Någonting som nämns då.
114 00:04:43,640 --> 00:04:47,860
Det som är roligt är att det ligger faktiskt med bind-zonfiler i dumpen.
115 00:04:48,940 --> 00:04:49,660
Och där kan man se.
116 00:04:49,800 --> 00:04:51,360
Det är alltså deras interna DNS-zon.
117 00:04:51,440 --> 00:04:51,860
Då ser man deras…
118 00:04:52,560 --> 00:04:53,460
De kör det i ESXI.
119 00:04:53,900 --> 00:04:57,080
Så VMware körs på de alleged CIA-servers.
120 00:04:57,540 --> 00:04:58,440
Men är inte det lite märkligt?
121 00:04:59,040 --> 00:05:04,220
Varför ligger deras zonfiler i en kollaborationsplattform?
122 00:05:04,520 --> 00:05:06,080
Ja, jag förstår inte då.
123 00:05:06,400 --> 00:05:06,880
Det är mer så här.
124 00:05:06,900 --> 00:05:09,000
Det kanske är ett stort file-repositör då.
125 00:05:09,480 --> 00:05:11,980
För där har du typ admin.loki.lab.
126 00:05:12,280 --> 00:05:13,120
Loki.lab.
127 00:05:13,240 --> 00:05:16,680
Det är deras start-of-authority-del då.
128 00:05:16,680 --> 00:05:19,060
Och så en massa olika interna…
129 00:05:19,060 --> 00:05:22,000
Alltså det är bara interna adresser i de här zonfilerna.
130 00:05:22,000 --> 00:05:23,800
Som pekar på olika saker då.
131 00:05:24,760 --> 00:05:26,780
Så det finns inget externt tyvärr.
132 00:05:27,280 --> 00:05:29,300
Vilket hade varit kul att se då.
133 00:05:30,420 --> 00:05:32,820
Eller det hade varit kul att titta på om de var publicerade.
134 00:05:33,140 --> 00:05:34,420
Command and control service.
135 00:05:34,680 --> 00:05:37,460
Ja, eller så här att de kanske använder något repo.
136 00:05:37,700 --> 00:05:39,920
Eller att de kanske har en publicerad git-instans.
137 00:05:40,020 --> 00:05:41,720
Eller en SVN eller något sånt som man skulle kunna…
138 00:05:41,720 --> 00:05:44,380
Här kan vi hämta allt götta när vi gör post-exploitation.
139 00:05:44,580 --> 00:05:49,500
Ja, men det känns mer som att det här är liksom någon dojo för att bara leka runt.
140 00:05:49,500 --> 00:05:50,980
Alltså för att testa saker.
141 00:05:51,540 --> 00:05:51,980
Känns det som.
142 00:05:52,000 --> 00:05:55,620
Och det känns så bara för att det är så rörigt.
143 00:05:55,720 --> 00:05:57,080
Det är så mycket av allt möjligt.
144 00:05:57,580 --> 00:05:58,940
Det är inte strukturerat.
145 00:05:59,760 --> 00:06:02,280
Och sen har de typ en visiospes då.
146 00:06:02,460 --> 00:06:05,340
Som är så här secret, se, non-form.
147 00:06:05,840 --> 00:06:09,880
Alltså så här där de påvisar VPN.
148 00:06:10,040 --> 00:06:13,100
Där de har liksom gjort en infrastruktur då.
149 00:06:13,140 --> 00:06:17,840
Som ska likna då någon form av corporate net här.
150 00:06:17,920 --> 00:06:20,240
Med VPN-terminatorer och proxys.
151 00:06:20,240 --> 00:06:21,520
Ja, en labbmiljö typ.
152 00:06:21,520 --> 00:06:21,900
Ja, precis.
153 00:06:22,000 --> 00:06:25,020
En labbmiljö som ska likna, det är inte webbs lite grann.
154 00:06:25,600 --> 00:06:29,000
Och det är så här, ja, det ser ganska coolt ut.
155 00:06:30,440 --> 00:06:34,500
Men det är ganska, det känns som att det här är test eller träning kanske.
156 00:06:34,580 --> 00:06:36,100
Det kan vara någon utbildningsanläggning kanske.
157 00:06:36,200 --> 00:06:37,380
Det är vad det görs på känslan av.
158 00:06:37,680 --> 00:06:40,580
Och om vi tittar på det här materialet som finns där.
159 00:06:40,760 --> 00:06:43,960
Vad kan vi lära oss när det gäller deras kapabiliteter?
160 00:06:44,100 --> 00:06:46,500
Alltså vad är det för, vad riktar de in sig på?
161 00:06:46,600 --> 00:06:47,160
Vad är det för…
162 00:06:47,160 --> 00:06:49,540
Ja, du vet, det är rätt högt och lågt alltså.
163 00:06:50,120 --> 00:06:51,920
Jag har tittat en bråk.
164 00:06:51,920 --> 00:07:05,820
Men det är allt ifrån Qualcomm-chipset-sårbarheter för att kunna köra olika saker i till exempel Android-lurad.
165 00:07:05,920 --> 00:07:06,920
Eller vad det nu kan tänkas vara.
166 00:07:07,380 --> 00:07:14,960
Till en lista som är publik för hur EDB-formatet i Exchange fungerar.
167 00:07:14,960 --> 00:07:17,780
Så då har de liksom tagit EDB-formatet…
168 00:07:17,780 --> 00:07:21,900
Alltså databasformatet i Exchange är ju en flatfield-struktur.
169 00:07:21,920 --> 00:07:23,680
Med massa olika…
170 00:07:23,680 --> 00:07:26,220
Det är ett jävla trökig fil att titta igenom.
171 00:07:26,600 --> 00:07:29,980
Men där har de börjat mappa då olika referenser.
172 00:07:30,200 --> 00:07:32,660
För att säga, i den här referenskontexten så finns detta.
173 00:07:33,340 --> 00:07:34,040
Och så vidare.
174 00:07:34,120 --> 00:07:35,180
En jättelång lista då.
175 00:07:35,280 --> 00:07:38,020
Från Exchange 23 upp till 2010.
176 00:07:38,520 --> 00:07:40,400
Vilket då är ett tecken på att den är ganska gammal.
177 00:07:40,740 --> 00:07:42,240
Alltså den är inte purfärsk.
178 00:07:42,340 --> 00:07:44,240
Men som ett referensbibliotek kanske.
179 00:07:45,040 --> 00:07:49,920
Sen har de liksom en textfil för hur man konfigurerar…
180 00:07:49,920 --> 00:07:56,360
Ja men Wireshark på ett bra sätt i user-kontext på en Ubuntu-klientmaskin.
181 00:07:56,760 --> 00:07:58,260
Men den där Exchange-grejen liksom.
182 00:07:58,580 --> 00:08:01,320
Vad använder jag sån information till?
183 00:08:01,400 --> 00:08:06,380
Är det för att gå igenom en Exchange-fil som jag har snott någonstans?
184 00:08:06,560 --> 00:08:07,020
Ja precis.
185 00:08:07,140 --> 00:08:07,920
Eller att du ska bygga…
186 00:08:08,600 --> 00:08:09,920
Du kommer över en Exchange-databas.
187 00:08:11,700 --> 00:08:13,180
Vilket kan vara ganska stort.
188 00:08:13,280 --> 00:08:14,660
Men du kommer över en Exchange-databas.
189 00:08:14,960 --> 00:08:17,320
Det är en jävla härke till fil liksom.
190 00:08:17,800 --> 00:08:19,320
Då vill du ju kunna…
191 00:08:19,920 --> 00:08:21,980
Ta reda på vad som är vad egentligen.
192 00:08:22,540 --> 00:08:22,940
Referensmässigt.
193 00:08:23,160 --> 00:08:24,980
Jag ska ju reversa den typ för att hitta det roliga.
194 00:08:25,120 --> 00:08:27,040
Och eftersom Microsoft är ju closed source.
195 00:08:27,280 --> 00:08:29,760
Det finns ju givetvis någon form av sån lista någonstans.
196 00:08:29,920 --> 00:08:31,780
Men det här är ju för att populera en egen då.
197 00:08:31,800 --> 00:08:35,680
Så man kanske kan bygga något rudimentärt för en Seek-tool då.
198 00:08:35,860 --> 00:08:38,600
Så man kanske kan karva lite i Exchange.
199 00:08:38,940 --> 00:08:40,860
Lite referensmaterial som är bra att ha då.
200 00:08:41,040 --> 00:08:41,720
Ja precis.
201 00:08:41,920 --> 00:08:42,900
Men inte komplett.
202 00:08:42,900 --> 00:08:45,000
Men jag hittade även lite…
203 00:08:45,000 --> 00:08:46,860
När jag tittade och snurrade runt där så hittade jag…
204 00:08:46,860 --> 00:08:49,640
Ganska många Android-exploits.
205 00:08:49,920 --> 00:08:50,900
Så dels…
206 00:08:50,900 --> 00:08:56,960
De flesta var antingen publika eller köpta av någon sån här exploit-spelare då.
207 00:08:57,040 --> 00:08:58,320
Och alla var typ…
208 00:08:58,320 --> 00:08:58,900
Ganska gamla.
209 00:08:59,440 --> 00:09:03,940
Det var väl Android 4 och fram till typ 2014 fanns det väl grejer.
210 00:09:03,940 --> 00:09:05,060
För det är min känsla också då.
211 00:09:05,120 --> 00:09:05,580
Och då är jag förundrad.
212 00:09:05,720 --> 00:09:09,260
Är det en strategi av Wikileaks här att inte släppa allt på en gång?
213 00:09:09,340 --> 00:09:10,960
Year Zero antyder ju det lite grann.
214 00:09:10,960 --> 00:09:11,640
Det känns så.
215 00:09:11,640 --> 00:09:12,480
Det känns så.
216 00:09:12,620 --> 00:09:13,520
För jag tittade också…
217 00:09:13,520 --> 00:09:15,980
Jag såg också de här Android-delarna.
218 00:09:16,100 --> 00:09:17,000
Men också iOS.
219 00:09:17,320 --> 00:09:19,140
Ja, jag såg en hel stack med sådana också.
220 00:09:19,360 --> 00:09:19,740
Fast gamla.
221 00:09:19,740 --> 00:09:21,860
Ja, upp till iOS 8 tror jag det fanns lite grejer.
222 00:09:21,860 --> 00:09:22,620
Precis, precis.
223 00:09:23,820 --> 00:09:25,300
Men sen så finns det ju också så här.
224 00:09:25,340 --> 00:09:28,620
De har någon sån här Tau Data Item Wrapper.
225 00:09:29,020 --> 00:09:30,420
Alltså NSA-Tau?
226 00:09:30,540 --> 00:09:30,760
Ja.
227 00:09:31,380 --> 00:09:32,060
Finns i…
228 00:09:32,060 --> 00:09:32,620
Ligger med då.
229 00:09:32,660 --> 00:09:34,000
Men den är daterad till 2007.
230 00:09:36,740 --> 00:09:37,260
Det har jag också sett.
231 00:09:37,300 --> 00:09:38,660
Det antyder ju lite samarbete då.
232 00:09:38,680 --> 00:09:39,640
Ja, eller…
233 00:09:40,040 --> 00:09:42,400
Det är fett för världen att det finns.
234 00:09:43,340 --> 00:09:46,680
Om jag trodde det var på ett par faktiskt av Android-exploitsen också så var det liksom…
235 00:09:46,680 --> 00:09:48,980
Den här köpte vi från GCHQ.
236 00:09:48,980 --> 00:09:50,980
Den här kom från NSA och lite sånt där.
237 00:09:50,980 --> 00:09:52,980
Precis, det är ju nåt…
238 00:09:52,980 --> 00:09:57,660
Det som har varit ute i media kring det här är ju när de kan göra din smart-tv till en…
239 00:09:57,660 --> 00:09:58,980
Listening Device.
240 00:09:58,980 --> 00:09:59,480
Ja, precis.
241 00:09:59,480 --> 00:10:01,380
Ja, med fake-off och allting.
242 00:10:01,380 --> 00:10:02,580
Det är ju pappret jag har läst då.
243 00:10:02,580 --> 00:10:03,580
Och där är ju det…
244 00:10:03,580 --> 00:10:07,780
Det är ju i samarbete med MI5, finns det?
245 00:10:07,780 --> 00:10:08,280
Ja.
246 00:10:08,280 --> 00:10:09,680
Och G och CQ tror jag.
247 00:10:09,680 --> 00:10:11,180
Som har gjort det där då.
248 00:10:11,180 --> 00:10:12,280
Sen finns det…
249 00:10:12,280 --> 00:10:13,780
Men det var väl, när jag fattade den attacken…
250 00:10:13,780 --> 00:10:15,080
Den var inte remote, utan den var…
251 00:10:15,080 --> 00:10:18,340
Du måste ha fysisk access till burken tror jag.
252 00:10:18,340 --> 00:10:18,820
Ja.
253 00:10:18,820 --> 00:10:23,320
Jag har inte läst så jävla mycket, men det var ju nån sån där falsify-off-funktion.
254 00:10:23,320 --> 00:10:24,320
Ja, fake-off.
255 00:10:24,320 --> 00:10:27,020
Fake-off, så att det såg ut som att den var avstängd, men den var ju inte det.
256 00:10:27,020 --> 00:10:30,820
Ja, men jag tror för att vektorn in var typ USB-mini in i tvn eller nåt sånt där.
257 00:10:30,820 --> 00:10:31,320
Ja, just det.
258 00:10:31,320 --> 00:10:35,820
Så det var ju liksom ingen remote-attack eller massövervakning, utan det var en ganska riktad attack.
259 00:10:35,820 --> 00:10:37,820
Men, men, men…
260 00:10:37,820 --> 00:10:41,820
Vi har ju tagit upp det här tidigare när vi har läst…
261 00:10:41,820 --> 00:10:48,820
Att de föredrar ju ofta att göra installation där de själva kan se…
262 00:10:48,820 --> 00:10:50,820
Resultatet av installationen.
263 00:10:50,820 --> 00:10:54,820
Inte säger jag himlen, underrättstjänster och polismyndigheter.
264 00:10:54,820 --> 00:10:58,820
De gillar generellt sett, alltså…
265 00:10:58,820 --> 00:11:01,820
Om hacka in på en server är det enda sättet, ja.
266 00:11:01,820 --> 00:11:04,820
Men om det är en end-user-device så vill de gärna…
267 00:11:04,820 --> 00:11:08,820
De vill vara där och se att den lyckas, för de vet väl empiriskt att…
268 00:11:08,820 --> 00:11:12,820
Även om du har ett jättefint exploit, så en av tio gånger så…
269 00:11:12,820 --> 00:11:13,320
Failar den.
270 00:11:13,320 --> 00:11:17,820
Blåskärmar den eller betyder det sig mystiskt, kan de misslyckas och då vill de…
271 00:11:17,820 --> 00:11:21,820
Kunna agera på något sätt, liksom.
272 00:11:21,820 --> 00:11:24,820
Eller åtminstone veta om att de misslyckades.
273 00:11:24,820 --> 00:11:27,820
Så det är fullt möjligt att de…
274 00:11:27,820 --> 00:11:31,820
Vad var det med Cisco-prylar? De gjorde intercept på dem i postgången och sådana grejer.
275 00:11:31,820 --> 00:11:33,820
Precis, och körde implantator.
276 00:11:33,820 --> 00:11:34,820
Så att…
277 00:11:34,820 --> 00:11:38,820
Även om vi tycker att det är sunkigt med en…
278 00:11:38,820 --> 00:11:43,820
Installation på plats, så kanske det är en önskvärd feature för underrättstjänster.
279 00:11:43,820 --> 00:11:45,820
Eller tillräckligt bra, åtminstone.
280 00:11:45,820 --> 00:11:46,820
Absolut.
281 00:11:46,820 --> 00:11:50,820
Det är ju ett MO som de har använt i åratal, liksom.
282 00:11:50,820 --> 00:11:56,820
Det här med att bryta sig in, plantera buggar och lämna utan att liksom…
283 00:11:56,820 --> 00:11:57,820
Försöka lämna några spår.
284 00:11:57,820 --> 00:12:01,820
Det som jag tycker är nice med det, det är att det är liksom…
285 00:12:01,820 --> 00:12:04,820
Spy organization doing spy things, litegrann.
286 00:12:04,820 --> 00:12:05,820
Alltså, det är riktat.
287 00:12:05,820 --> 00:12:07,820
Det är inte det här…
288 00:12:07,820 --> 00:12:09,820
Wiretap the entire world.
289 00:12:09,820 --> 00:12:11,820
Och leta efter några magiska keywords, utan det är liksom…
290 00:12:11,820 --> 00:12:13,820
Jag har ett misstanke mot person X.
291 00:12:13,820 --> 00:12:15,820
Nu ska vi övervaka den personen.
292 00:12:16,820 --> 00:12:18,820
Det är lite mer fair game för mig, tycker jag.
293 00:12:18,820 --> 00:12:19,820
Ja, precis.
294 00:12:19,820 --> 00:12:21,820
Sen så nämns det ju också här i…
295 00:12:21,820 --> 00:12:24,820
Evil maid-konceptet som fortfarande är…
296 00:12:24,820 --> 00:12:25,820
Ja.
297 00:12:25,820 --> 00:12:28,820
Men i dumpen i alla fall, så nämns det ju också…
298 00:12:28,820 --> 00:12:31,820
De pratar om Hornet och de pratar om lite olika…
299 00:12:31,820 --> 00:12:34,820
Applikationer, typ. Som de…
300 00:12:34,820 --> 00:12:36,820
Grasshopper och det är allt möjligt.
301 00:12:36,820 --> 00:12:38,820
Den gamla klassiska, coola namnen.
302 00:12:38,820 --> 00:12:39,820
Precis, som då…
303 00:12:39,820 --> 00:12:42,820
Jag har inte tittat så mycket på vad det faktiskt kan tänkas vara.
304 00:12:42,820 --> 00:12:44,820
Men det jag ser då är att det är flera versioner, då.
305 00:12:44,820 --> 00:12:47,820
Det förekommer flera versioner av den här.
306 00:12:47,820 --> 00:12:50,820
Vad det nu kan tänkas vara. Blir det någon RAT eller någonting…
307 00:12:50,820 --> 00:12:52,820
Som de då använder.
308 00:12:52,820 --> 00:12:54,820
Men det var inte så mycket binära de där, va?
309 00:12:54,820 --> 00:12:56,820
Inga binära alls. Och…
310 00:12:56,820 --> 00:12:59,820
Jo, det finns lite installationsfiler, men det är open source-produkter.
311 00:12:59,820 --> 00:13:01,820
Och vad de har gjort då, det är att…
312 00:13:01,820 --> 00:13:03,820
Wikileaks har gått in och…
313 00:13:03,820 --> 00:13:05,820
Och sagt egentligen att…
314 00:13:05,820 --> 00:13:08,820
This archive file is still being examined by Wikileaks.
315 00:13:08,820 --> 00:13:10,820
It may be released in the near future.
316 00:13:10,820 --> 00:13:13,820
What follows is an automatically generated list of its content.
317 00:13:13,820 --> 00:13:16,820
Så att de har redactat grejer då.
318 00:13:16,820 --> 00:13:19,820
Och det här i det här fallet då, så är det…
319 00:13:19,820 --> 00:13:21,820
Jag vet inte vad det kan tänkas vara.
320 00:13:21,820 --> 00:13:23,820
Men den heter Hornet 1.0.
321 00:13:23,820 --> 00:13:26,820
RC2. Bin. Unclassified.
322 00:13:26,820 --> 00:13:29,820
IP. Vendor. Flask. Testsuite.
323 00:13:29,820 --> 00:13:31,820
Och så deprecations.py.
324 00:13:31,820 --> 00:13:33,820
Och så en massa… Python stuff.
325 00:13:33,820 --> 00:13:35,820
Massa olika Python stuff, då.
326 00:13:35,820 --> 00:13:37,820
Vad det här är, det vet jag inte.
327 00:13:37,820 --> 00:13:40,820
Men det är så här… Blueprint intap.
328 00:13:40,820 --> 00:13:41,820
Mm.
329 00:13:41,820 --> 00:13:42,820
Okej, men vi har sett…
330 00:13:42,820 --> 00:13:45,820
iOS exploits. Android exploits.
331 00:13:45,820 --> 00:13:46,820
Har vi sett något mer?
332 00:13:46,820 --> 00:13:48,820
Ja, vi har sett…
333 00:13:48,820 --> 00:13:50,820
RouterOS exploits.
334 00:13:50,820 --> 00:13:54,820
Som det ser ut när jag tittar på…
335 00:13:54,820 --> 00:13:56,820
Det är en massa screenshots.
336 00:13:56,820 --> 00:13:58,820
Jag har bara tittat på screenshotsen egentligen.
337 00:13:58,820 --> 00:14:00,820
Och det som det ser ut som då, det är att de…
338 00:14:00,820 --> 00:14:03,820
Visar först att de har kompat upp en…
339 00:14:03,820 --> 00:14:06,820
RouterOS, typ någon mikrotik-rackare.
340 00:14:06,820 --> 00:14:09,820
Där de påvisar två interface.
341 00:14:09,820 --> 00:14:10,820
Och sen så gör de en remote…
342 00:14:10,820 --> 00:14:13,820
Får de ett remote-käll, då.
343 00:14:13,820 --> 00:14:15,820
Via interfacet som…
344 00:14:15,820 --> 00:14:17,820
Är tänkt att sitta på en varnlänk.
345 00:14:17,820 --> 00:14:18,820
Det är inte webbs.
346 00:14:18,820 --> 00:14:19,820
Ja, fast det är en…
347 00:14:19,820 --> 00:14:20,820
Internadress i det här fallet, då.
348 00:14:20,820 --> 00:14:21,820
Men det är…
349 00:14:21,820 --> 00:14:22,820
Det är labb…
350 00:14:22,820 --> 00:14:23,820
Miljö, då.
351 00:14:23,820 --> 00:14:24,820
Så jag misstänker att det är liksom en del av…
352 00:14:24,820 --> 00:14:25,820
Men så här gör man.
353 00:14:25,820 --> 00:14:27,820
Var det någon exploit-grej med där, eller?
354 00:14:27,820 --> 00:14:28,820
Ja, precis.
355 00:14:28,820 --> 00:14:29,820
Konfig-fel, eller vad?
356 00:14:29,820 --> 00:14:31,820
Nej, det ser ut som att det är en exploit…
357 00:14:31,820 --> 00:14:32,820
De använder.
358 00:14:32,820 --> 00:14:33,820
Sen om det är…
359 00:14:33,820 --> 00:14:35,820
Jag vet inte om det är en exploit per se.
360 00:14:35,820 --> 00:14:37,820
Det kan ju vara ett implantat som de har lagt in i firmware också.
361 00:14:37,820 --> 00:14:38,820
Mm.
362 00:14:38,820 --> 00:14:39,820
Men det de gör… Alltså…
363 00:14:39,820 --> 00:14:41,820
Resultatet blir ett reverse-käll.
364 00:14:41,820 --> 00:14:44,820
Och det reverse-kället är Seamless, då.
365 00:14:44,820 --> 00:14:45,820
Så du kan göra…
366 00:14:45,820 --> 00:14:48,820
Du är admin på routern, då.
367 00:14:48,820 --> 00:14:49,820
Helt enkelt.
368 00:14:49,820 --> 00:14:52,820
Sen finns det, då, även implantat för…
369 00:14:52,820 --> 00:14:54,820
De har lister där de har klassificerat…
370 00:14:54,820 --> 00:14:56,820
De vanligaste…
371 00:14:56,820 --> 00:14:57,820
Så här…
372 00:14:57,820 --> 00:14:59,820
Top-sailed routers.
373 00:14:59,820 --> 00:15:00,820
Blablabla.
374 00:15:00,820 --> 00:15:03,820
Och vilken router som är…
375 00:15:03,820 --> 00:15:04,820
Eller, inte router.
376 00:15:04,820 --> 00:15:06,820
Vilken nätverksappliance som är…
377 00:15:06,820 --> 00:15:07,820
Trendig att ha.
378 00:15:07,820 --> 00:15:09,820
Så de har kategoriserat lister…
379 00:15:09,820 --> 00:15:10,820
Lite, då.
380 00:15:10,820 --> 00:15:13,820
Och så kollat vilka de har exploits till, då, typ. Eller vadå?
381 00:15:13,820 --> 00:15:14,820
Lite så. Lite så.
382 00:15:14,820 --> 00:15:16,820
Var det per marknad, då?
383 00:15:16,820 --> 00:15:17,820
Ja, det också, då.
384 00:15:17,820 --> 00:15:20,820
Så att det stod typ att i det här landet så finns det…
385 00:15:20,820 --> 00:15:22,820
Si så här många såna här ADSL-burkar.
386 00:15:22,820 --> 00:15:24,820
Eller vad det nu kan tänkas vara, då.
387 00:15:24,820 --> 00:15:26,820
I Sverige går man på Linksys och Netgear.
388 00:15:26,820 --> 00:15:28,820
Ja, så är det kanske.
389 00:15:28,820 --> 00:15:31,820
Och sen så hittar jag en Boot Image Extractor.
390 00:15:31,820 --> 00:15:34,820
Så det är liksom… Det är verkligen högt och lågt.
391 00:15:36,820 --> 00:15:37,820
Men också i Redakte, då.
392 00:15:37,820 --> 00:15:38,820
Så det är inte…
393 00:15:38,820 --> 00:15:40,820
Det är inte något som är operational, då.
394 00:15:40,820 --> 00:15:41,820
Men det är…
395 00:15:41,820 --> 00:15:43,820
Det kan ju vara så att den kommer komma komma.
396 00:15:43,820 --> 00:15:44,820
Kommer komma komma.
397 00:15:44,820 --> 00:15:46,820
Vad tror vi om kommande…
398 00:15:46,820 --> 00:15:47,820
...releaser, då?
399 00:15:47,820 --> 00:15:49,820
För jag menar, det här är ju bara en del av det.
400 00:15:49,820 --> 00:15:53,820
Alltså, min gissning var ju att det här är då de tidigaste filerna.
401 00:15:53,820 --> 00:15:56,820
Och att det kanske kommer senare material…
402 00:15:56,820 --> 00:15:57,820
...efterhand.
403 00:15:57,820 --> 00:15:59,820
Men vi får väl se.
404 00:15:59,820 --> 00:16:02,820
Det känns ju som att de binärerna de har redaktat nu, då.
405 00:16:02,820 --> 00:16:04,820
Att de före eller senare kommer släppas också.
406 00:16:04,820 --> 00:16:05,820
Eventuellt…
407 00:16:05,820 --> 00:16:07,820
Alltså, nu hoppas jag ju på mycket här, då.
408 00:16:07,820 --> 00:16:09,820
Om jag får mig lite tur.
409 00:16:09,820 --> 00:16:14,820
Så är det så att Wikileaks samarbetar med vendors i det här fallet.
410 00:16:14,820 --> 00:16:15,820
Så de kan patcha.
411 00:16:15,820 --> 00:16:16,820
Eller kolla så att det är patchat.
412 00:16:16,820 --> 00:16:17,820
Det kan vara så, i alla fall.
413 00:16:17,820 --> 00:16:19,820
Och sen släpper man binärerna i efterhand, då.
414 00:16:19,820 --> 00:16:20,820
När det är patchat och klart.
415 00:16:20,820 --> 00:16:21,820
Men, ja.
416 00:16:21,820 --> 00:16:22,820
En grej som jag ska säga, också.
417 00:16:22,820 --> 00:16:26,820
Det är att det ligger i den här filgrejen.
418 00:16:26,820 --> 00:16:30,820
Så ligger det en sån här IE9 Windows 6.1 KB.
419 00:16:30,820 --> 00:16:31,820
För Windows 9…
420 00:16:31,820 --> 00:16:34,820
Eller för IE9 och IE10.
421 00:16:34,820 --> 00:16:36,820
De ska man nog göra integrity check på.
422 00:16:36,820 --> 00:16:39,820
Kolla så att de stämmer med vad som faktiskt skickas ut.
423 00:16:39,820 --> 00:16:41,820
Det är alltså installations…
424 00:16:41,820 --> 00:16:45,820
Det är uppdateringspaket till IE9 och IE10.
425 00:16:45,820 --> 00:16:47,820
Det ska man kolla så här.
426 00:16:47,820 --> 00:16:48,820
Diffa dem mot en riktig…
427 00:16:48,820 --> 00:16:49,820
Ja, precis.
428 00:16:49,820 --> 00:16:51,820
Är det det eller är det preppat med implantat?
429 00:16:51,820 --> 00:16:54,820
Det ligger också här och myser, då.
430 00:16:54,820 --> 00:16:55,820
Ja.
431 00:16:55,820 --> 00:16:56,820
Spännande.
432 00:16:56,820 --> 00:16:59,820
Ja, det är roligt.
433 00:16:59,820 --> 00:17:01,820
Men man funderar ju på vad…
434 00:17:01,820 --> 00:17:02,820
Liksom…
435 00:17:02,820 --> 00:17:05,820
Om man då ser på hur Wikileaks hanterar detta.
436 00:17:05,820 --> 00:17:09,820
För nu sitter ju de på en rackans massa götta.
437 00:17:09,820 --> 00:17:10,820
Alltså…
438 00:17:10,820 --> 00:17:17,820
Och den som då har levererat det här till Wikileaks eller Lekt eller hur man ska säga.
439 00:17:17,820 --> 00:17:22,820
Vad tänker de om att de sitter och håller på det?
440 00:17:22,820 --> 00:17:23,820
Åh…
441 00:17:23,820 --> 00:17:25,820
Jag menar, potentiellt…
442 00:17:25,820 --> 00:17:26,820
Nu är ju detta gammalt.
443 00:17:26,820 --> 00:17:29,820
Men om vi säger att de sitter på grejer från 2016, så…
444 00:17:29,820 --> 00:17:31,820
Men kan det inte vara så som Mattias säger då?
445 00:17:31,820 --> 00:17:33,820
Att de vill hålla på det för att de ska kunna patcha det?
446 00:17:33,820 --> 00:17:36,820
De tar kontakt med vendorsna för att bara fixa det här.
447 00:17:36,820 --> 00:17:38,820
Alltså, jag är jävligt snäll när jag säger så.
448 00:17:38,820 --> 00:17:39,820
Ja.
449 00:17:39,820 --> 00:17:40,820
De är ju historiskt sett så…
450 00:17:40,820 --> 00:17:44,820
Wikileaks har ju inte stigit i förtroende det senaste det.
451 00:17:44,820 --> 00:17:49,820
De har ju en sån grymt tydlig agenda, liksom.
452 00:17:49,820 --> 00:17:54,820
Och tittar man på pressleasen också, så är ju den också…
453 00:17:54,820 --> 00:17:56,820
Alltså, den är ju inte så här faktabaserad direkt.
454 00:17:56,820 --> 00:18:00,820
Det är ju supermycket hyperbåler och spekulationer.
455 00:18:00,820 --> 00:18:02,820
De antyder till exempel att…
456 00:18:02,820 --> 00:18:05,820
Ja, CIA kan ju hacka bilar.
457 00:18:05,820 --> 00:18:12,820
Och då tar ju foliehatterna vid och det blir mycket konspirationsteorier.
458 00:18:12,820 --> 00:18:14,820
Bland annat så är det ju någon snubbe som…
459 00:18:14,820 --> 00:18:20,820
Som då de har sedan tidigare hävdat att CIA har tagit livet av genom att typ hacka hans bil och köra in i ett trä.
460 00:18:20,820 --> 00:18:24,820
För att han höll just då på att forska kring CIA och hade något skop på gång.
461 00:18:24,820 --> 00:18:27,820
Och de fick ju ny vatten på sin kvar nu då.
462 00:18:27,820 --> 00:18:31,820
För att om man bara läser Wikileaks pressleas så antyder de ganska…
463 00:18:31,820 --> 00:18:36,820
Ja, de har operativ förmåga att hacka bilar, typ.
464 00:18:36,820 --> 00:18:40,820
Och det där råkar ju vara lite intressesfärd för mig.
465 00:18:40,820 --> 00:18:44,820
Så jag gick ju in i dumpen och kolla vad det är som står egentligen.
466 00:18:44,820 --> 00:18:46,820
Och det enda de bygger på detta, det är alltså…
467 00:18:46,820 --> 00:18:49,820
Dels är pressleasen från Wikileaks och sen har ju massor med tabloider tagit vid då.
468 00:18:49,820 --> 00:18:51,820
Mycket stridsutriker.
469 00:18:51,820 --> 00:18:54,820
Jaha, mardrömsscenario för alla biltillverkare.
470 00:18:54,820 --> 00:18:58,820
Och CIA kan hacka bilar och hejå, liksom.
471 00:18:58,820 --> 00:19:00,820
Nu är Secret Assassination impossible.
472 00:19:00,820 --> 00:19:04,820
Secret Assassination impossible to detect by car hacking.
473 00:19:04,820 --> 00:19:06,820
Okej, vad bygger de då detta på?
474 00:19:06,820 --> 00:19:13,820
Ett dokument. Mötesanteckning från ett internt CIA-gruppsmöte från 2014.
475 00:19:13,820 --> 00:19:16,820
Där under rubriken…
476 00:19:16,820 --> 00:19:19,820
Possible future…
477 00:19:19,820 --> 00:19:21,820
Jag undrar om det var missions. Nej, det var inte missions.
478 00:19:21,820 --> 00:19:24,820
Det var liksom development goals eller något där.
479 00:19:24,820 --> 00:19:28,820
De hade en lista på möjliga saker de skulle sätta sig ner och göra framöver.
480 00:19:28,820 --> 00:19:29,820
Mm.
481 00:19:29,820 --> 00:19:31,820
Det var 19 punkter i den listan.
482 00:19:31,820 --> 00:19:34,820
En utav punkterna hette Vehicle Systems.
483 00:19:34,820 --> 00:19:36,820
Och en annan hette QNX.
484 00:19:36,820 --> 00:19:40,820
QNX är ju en leverantör under Blackbird som levererar…
485 00:19:40,820 --> 00:19:42,820
...SU-er till bilar.
486 00:19:42,820 --> 00:19:43,820
Telematik.
487 00:19:43,820 --> 00:19:45,820
Det var det enda som stod.
488 00:19:45,820 --> 00:19:48,820
Av 19 punkter så var två som kunde kopplas till bil.
489 00:19:48,820 --> 00:19:51,820
Och från det så kunde CIA hacka bilar.
490 00:19:51,820 --> 00:19:58,820
Super… Det är liksom att snacka om spekulationer och dra resonemanget långt.
491 00:19:58,820 --> 00:20:02,820
Om du räknar allting vi har sagt och påstått och skrivit vid olika tillfällen.
492 00:20:02,820 --> 00:20:07,820
Vi måste ju vara massmördade med bilhackning och allt möjligt annat.
493 00:20:07,820 --> 00:20:09,820
Ja, herregud ja.
494 00:20:09,820 --> 00:20:18,820
Något som också är ganska roligt är ganska mycket Windows post-exploateringsövningar.
495 00:20:18,820 --> 00:20:21,820
Det stärker ju lite teserna som vi pratade om tidigare.
496 00:20:21,820 --> 00:20:24,820
Att de gärna är på plats och infekterar maskinen.
497 00:20:24,820 --> 00:20:26,820
För…
498 00:20:26,820 --> 00:20:30,820
DLL-injections är ju något som är ett faktum.
499 00:20:30,820 --> 00:20:34,820
När man kör post-exploitation, särskilt i Windows-system.
500 00:20:34,820 --> 00:20:37,820
Och där har de ganska mycket faktiskt, det som de visar då.
501 00:20:37,820 --> 00:20:43,820
Och även lite privetsk-grejer som inte är så jävla avancerat.
502 00:20:43,820 --> 00:20:45,820
Men ändå… Ja.
503 00:20:45,820 --> 00:20:48,820
Och lite implantat som de har kört egna binärer då som hookar sig på.
504 00:20:48,820 --> 00:20:55,820
Men alltså, det är ju relevant också för oss att hitta någon sorts förståelse av vad är det egentligen…
505 00:20:55,820 --> 00:20:57,820
...som man har drumpat information utifrån.
506 00:20:57,820 --> 00:21:00,820
För det är ju typ så att man har tagit det från ett intranät.
507 00:21:00,820 --> 00:21:01,820
Jag menar…
508 00:21:01,820 --> 00:21:06,820
Jag och några andra ute hos min kund har ju som målat om någon någon gång går in…
509 00:21:06,820 --> 00:21:11,820
...på våra privata personliga spaces under intranätet.
510 00:21:11,820 --> 00:21:14,820
Då ska man ju börja undra vad det är som pågår liksom.
511 00:21:16,820 --> 00:21:19,820
Så på något sätt så är det liksom att man har hittat någonting…
512 00:21:19,820 --> 00:21:21,820
Ni har alltså en desinformationskampanj där?
513 00:21:21,820 --> 00:21:24,820
Alltså på de personliga spacerna så har vi…
514 00:21:25,820 --> 00:21:28,820
...bestämt att man kan spacea ut lite grann och vara lite…
515 00:21:28,820 --> 00:21:31,820
Det finns ingen anledning att inte vara underlig där.
516 00:21:31,820 --> 00:21:33,820
Bra!
517 00:21:33,820 --> 00:21:37,820
Ja, jag menar, egentligen…
518 00:21:37,820 --> 00:21:39,820
Det är ju inte konstigare.
519 00:21:39,820 --> 00:21:42,820
Jag menar, alla är vi ju samlare och hoarders i viss mån.
520 00:21:42,820 --> 00:21:47,820
Och kommer man över någonting kul, ja då drar man ner det på sin nas.
521 00:21:47,820 --> 00:21:50,820
Och jag menar, skulle någon gå igenom min nas…
522 00:21:50,820 --> 00:21:52,820
...och liksom titta på…
523 00:21:52,820 --> 00:21:53,820
Man kan ju undra.
524 00:21:53,820 --> 00:21:57,820
Då lägger du ju gammalt skräp från…
525 00:21:57,820 --> 00:21:58,820
Ja…
526 00:21:58,820 --> 00:21:59,820
Förr?
527 00:21:59,820 --> 00:22:00,820
Ja, förr.
528 00:22:00,820 --> 00:22:01,820
Jag höll på att säga…
529 00:22:01,820 --> 00:22:03,820
Mitten 90-tal och framåt.
530 00:22:03,820 --> 00:22:05,820
Jag brukar ju alltid ha sådana här kataloger och holder.
531 00:22:05,820 --> 00:22:08,820
Jag liksom drag-and-droppar allting jag har tröttnat på.
532 00:22:08,820 --> 00:22:10,820
Och går man in i dem så är det ju bara såhär…
533 00:22:10,820 --> 00:22:11,820
Japp.
534 00:22:11,820 --> 00:22:12,820
Men det är ju också intressant då.
535 00:22:12,820 --> 00:22:14,820
För jag menar, det beteendet ser vi ju inte här.
536 00:22:14,820 --> 00:22:17,820
För det är väl typ såhär 2012, 2013 någonstans.
537 00:22:17,820 --> 00:22:18,820
Där startade det.
538 00:22:18,820 --> 00:22:20,820
Och frågan är ju om det är då ett…
539 00:22:20,820 --> 00:22:22,820
Alltså en artefakt ifrån Wikileaks.
540 00:22:22,820 --> 00:22:23,820
Vem har hanterat detta?
541 00:22:23,820 --> 00:22:25,820
Eller om det är de facto det är då det börjar?
542 00:22:25,820 --> 00:22:29,820
Alltså jag såg på det här alldeles eminenta programmet om…
543 00:22:29,820 --> 00:22:30,820
Stuxnet.
544 00:22:30,820 --> 00:22:35,820
Och där hände det ju någonting just det här med…
545 00:22:35,820 --> 00:22:36,820
Alltså…
546 00:22:36,820 --> 00:22:38,820
Det är ju några år sedan i och för sig.
547 00:22:38,820 --> 00:22:45,820
Men just det här skiftet där man insåg att cyberkrigföring är…
548 00:22:45,820 --> 00:22:51,820
Det är en väldigt het kanal att utveckla.
549 00:22:51,820 --> 00:22:52,820
Och där…
550 00:22:52,820 --> 00:22:54,820
Det är ju då vi har sett de här…
551 00:22:54,820 --> 00:22:56,820
De kanske fanns tidigare förvisso.
552 00:22:56,820 --> 00:22:59,820
Men alltså verkliga cyberkrigförband.
553 00:22:59,820 --> 00:23:01,820
Vilket år är det här?
554 00:23:01,820 --> 00:23:03,820
Operation Olympic Games och Stuxnet och det?
555 00:23:03,820 --> 00:23:04,820
När var det?
556 00:23:04,820 --> 00:23:05,820
Det är det jag funderar på.
557 00:23:05,820 --> 00:23:07,820
Är det någon som håller i huvudet?
558 00:23:07,820 --> 00:23:08,820
En gång till.
559 00:23:08,820 --> 00:23:09,820
När började Stuxnet?
560 00:23:09,820 --> 00:23:11,820
Operation Olympic Games…
561 00:23:11,820 --> 00:23:12,820
Är det fem år sedan?
562 00:23:12,820 --> 00:23:13,820
Nej jag kommer inte ihåg det.
563 00:23:13,820 --> 00:23:14,820
Jag kommer inte ihåg det.
564 00:23:14,820 --> 00:23:16,820
Det finns ett avsnitt av det.
565 00:23:16,820 --> 00:23:18,820
Ja men jag vill säga fem år sedan.
566 00:23:18,820 --> 00:23:19,820
Någonting sånt där.
567 00:23:19,820 --> 00:23:20,820
Det är ju…
568 00:23:20,820 --> 00:23:21,820
Sex kanske.
569 00:23:21,820 --> 00:23:23,820
Du menar när de började utvecklas Stuxnet?
570 00:23:23,820 --> 00:23:24,820
Nej.
571 00:23:24,820 --> 00:23:25,820
När det upptäcktes.
572 00:23:25,820 --> 00:23:26,820
När det small.
573 00:23:26,820 --> 00:23:28,820
Ja det kan nog vara fem år sedan ungefär.
574 00:23:28,820 --> 00:23:29,820
Det kan det nog vara.
575 00:23:29,820 --> 00:23:31,820
Vi har podcastat i fyra år och det var väl innan det.
576 00:23:31,820 --> 00:23:32,820
Ja.
577 00:23:32,820 --> 00:23:34,820
Stämmer.
578 00:23:34,820 --> 00:23:36,820
Men ja alltså…
579 00:23:36,820 --> 00:23:38,820
Så dumpen egentligen om man ska komma tillbaka till det.
580 00:23:38,820 --> 00:23:39,820
Den innehåller…
581 00:23:39,820 --> 00:23:40,820
2010.
582 00:23:40,820 --> 00:23:41,820
2010 ja.
583 00:23:41,820 --> 00:23:42,820
Så sex år sedan då.
584 00:23:42,820 --> 00:23:43,820
Så blev det känt.
585 00:23:43,820 --> 00:23:46,820
Den innehåller ju allt mellan himmel och jord.
586 00:23:46,820 --> 00:23:48,820
Och det ser mer ut som en…
587 00:23:48,820 --> 00:23:49,820
En storage area.
588 00:23:49,820 --> 00:23:51,820
Slash typ wiki.
589 00:23:51,820 --> 00:23:54,820
Men du känner absolut inte att det här verkar vara…
590 00:23:54,820 --> 00:23:56,820
Det är inte som TO-dumparna.
591 00:23:56,820 --> 00:23:58,820
Det här är inte liksom att man har…
592 00:23:58,820 --> 00:24:01,820
Dumpat ut Operation Olympic Games.
593 00:24:01,820 --> 00:24:03,820
Utan det här är någon…
594 00:24:03,820 --> 00:24:06,820
Det här är precis så ostrukturerat som våra kollaborationsgrejer…
595 00:24:06,820 --> 00:24:09,820
Skulle kunna tänkas vara blandning av all bara skit.
596 00:24:09,820 --> 00:24:13,820
Ja det känns ju som en offensiv cybergrupp.
597 00:24:13,820 --> 00:24:16,820
Som samlar verktyg och best practices.
598 00:24:16,820 --> 00:24:18,820
Inte utvecklar så mycket eget utan…
599 00:24:18,820 --> 00:24:20,820
Tar grejer från andra.
600 00:24:20,820 --> 00:24:22,820
Och ska använda dem i tanken.
601 00:24:22,820 --> 00:24:24,820
Men om jag analyserar då.
602 00:24:24,820 --> 00:24:25,820
Mycket IP-telefoni också.
603 00:24:25,820 --> 00:24:26,820
Ska man tillägga.
604 00:24:26,820 --> 00:24:28,820
Det ligger mycket…
605 00:24:28,820 --> 00:24:29,820
Alltså…
606 00:24:29,820 --> 00:24:32,820
Hård vad du spesar på IP-telefonisystem.
607 00:24:32,820 --> 00:24:35,820
Det ligger en del PCB.
608 00:24:35,820 --> 00:24:36,820
Alltså layoutar.
609 00:24:36,820 --> 00:24:38,820
Hur komponenterna sitter ihop.
610 00:24:38,820 --> 00:24:39,820
Och vad som gör vad.
611 00:24:39,820 --> 00:24:41,820
Så det är verkligen högt och lågt.
612 00:24:41,820 --> 00:24:42,820
Alltifrån…
613 00:24:42,820 --> 00:24:43,820
Kod.
614 00:24:43,820 --> 00:24:44,820
Implantat.
615 00:24:44,820 --> 00:24:46,820
På firmware-nivå.
616 00:24:46,820 --> 00:24:47,820
Och upp till då…
617 00:24:47,820 --> 00:24:48,820
OS-nivå.
618 00:24:48,820 --> 00:24:50,820
Genom delar av injections och implantat.
619 00:24:50,820 --> 00:24:53,820
Genom att man kör konstiga binärer.
620 00:24:53,820 --> 00:24:54,820
Till då…
621 00:24:54,820 --> 00:24:56,820
Hårdvara igen då.
622 00:24:56,820 --> 00:24:58,820
Men om vi analyserar lite.
623 00:24:58,820 --> 00:25:00,820
Vad tror vi om…
624 00:25:00,820 --> 00:25:02,820
Deras kapabilitet?
625 00:25:02,820 --> 00:25:04,820
Jag menar jag är inte ett dugg överraskad.
626 00:25:04,820 --> 00:25:06,820
Jag har svårt att få upp puls över en sån här…
627 00:25:06,820 --> 00:25:08,820
Massiv dump liksom.
628 00:25:08,820 --> 00:25:10,820
Att CIA hade de här möjligheterna.
629 00:25:10,820 --> 00:25:12,820
Är väl inget egentligen…
630 00:25:12,820 --> 00:25:15,820
Jag har supersvårt att bli upprörd över det här.
631 00:25:15,820 --> 00:25:16,820
Återigen.
632 00:25:16,820 --> 00:25:18,820
Det är ju en institution som jobbar med spionsaker.
633 00:25:18,820 --> 00:25:19,820
Jag förutsätter att de har det.
634 00:25:19,820 --> 00:25:21,820
Det är deras jävla arbetsuppgift.
635 00:25:21,820 --> 00:25:22,820
Ja, exakt.
636 00:25:22,820 --> 00:25:23,820
Det har jag inga problem med.
637 00:25:23,820 --> 00:25:24,820
Jag är grymt förvånad.
638 00:25:24,820 --> 00:25:25,820
Det var alltså…
639 00:25:25,820 --> 00:25:27,820
När jag började titta på detta så…
640 00:25:27,820 --> 00:25:28,820
Så gjorde jag en sådan…
641 00:25:28,820 --> 00:25:31,820
Twitter-sökning på Volt7.
642 00:25:31,820 --> 00:25:34,820
Det var ingen bra sökning för att…
643 00:25:34,820 --> 00:25:36,820
Väldigt få människor inom säkerhetsbranschen…
644 00:25:36,820 --> 00:25:37,820
Använder hashtag Volt7.
645 00:25:37,820 --> 00:25:40,820
De som använder hashtag Volt7…
646 00:25:40,820 --> 00:25:42,820
Det är Trumps styrkor.
647 00:25:42,820 --> 00:25:44,820
Som använder det här som någon slags bevismaterial…
648 00:25:44,820 --> 00:25:45,820
I politiskt syfte.
649 00:25:45,820 --> 00:25:47,820
För nu är det nämligen bevisat att…
650 00:25:47,820 --> 00:25:49,820
Obama övervakade…
651 00:25:49,820 --> 00:25:50,820
Just det.
652 00:25:50,820 --> 00:25:51,820
Trump.
653 00:25:51,820 --> 00:25:52,820
För att…
654 00:25:52,820 --> 00:25:54,820
Titta vilka verktyg CIA har.
655 00:25:54,820 --> 00:25:55,820
Och jag bara…
656 00:25:55,820 --> 00:25:56,820
Va?
657 00:25:56,820 --> 00:25:58,820
För det första så bevisar det ingenting.
658 00:25:58,820 --> 00:26:00,820
För som sagt, det här ska de ha.
659 00:26:00,820 --> 00:26:02,820
Sen är det ju så att CIA…
660 00:26:02,820 --> 00:26:05,820
Det är ju de som spionerar på utlänningar…
661 00:26:05,820 --> 00:26:06,820
Utanför USAs gränser.
662 00:26:06,820 --> 00:26:08,820
Det är FBI du ska vara rädd för…
663 00:26:08,820 --> 00:26:10,820
Om du är inne i USA.
664 00:26:10,820 --> 00:26:12,820
Så det var så mycket tokigheter.
665 00:26:12,820 --> 00:26:13,820
Och överhuvudtaget…
666 00:26:13,820 --> 00:26:14,820
Det känns som att det här…
667 00:26:14,820 --> 00:26:15,820
Det känns som att det här har politiserats…
668 00:26:15,820 --> 00:26:17,820
Något extremt i USA.
669 00:26:17,820 --> 00:26:19,820
Det tycker jag Wikileaks gör också.
670 00:26:19,820 --> 00:26:21,820
Och jag ser inte att det är relevant.
671 00:26:21,820 --> 00:26:23,820
Alltså det här är…
672 00:26:23,820 --> 00:26:25,820
Tvärtom, jag blev förvånad…
673 00:26:25,820 --> 00:26:27,820
Över att det inte fanns mer avancerade saker.
674 00:26:27,820 --> 00:26:29,820
Det kan ju komma i och för sig…
675 00:26:29,820 --> 00:26:31,820
I year 201 och sånt där.
676 00:26:31,820 --> 00:26:33,820
Men så här långt så…
677 00:26:33,820 --> 00:26:35,820
De har…
678 00:26:35,820 --> 00:26:37,820
They got hacker shit liksom.
679 00:26:37,820 --> 00:26:39,820
Michael Hayden…
680 00:26:39,820 --> 00:26:41,820
Som jag inte missuppfattat det…
681 00:26:41,820 --> 00:26:42,820
Han har varit chef för…
682 00:26:42,820 --> 00:26:43,820
Både CIA och NSA…
683 00:26:43,820 --> 00:26:46,820
I olika tillfällen i sin karriär.
684 00:26:46,820 --> 00:26:48,820
Han var ju i en…
685 00:26:48,820 --> 00:26:50,820
Intervju med Stephen Colbert…
686 00:26:50,820 --> 00:26:52,820
Och han har varit väldigt märklig…
687 00:26:52,820 --> 00:26:54,820
Osympatisk emellanåt men…
688 00:26:54,820 --> 00:26:56,820
Det här var en stört skön intervju.
689 00:26:56,820 --> 00:26:58,820
Han sitter där och liksom…
690 00:26:58,820 --> 00:27:00,820
Han är väldigt…
691 00:27:00,820 --> 00:27:02,820
Var det nu efter…?
692 00:27:02,820 --> 00:27:04,820
Han var trevlig och avslappnad.
693 00:27:04,820 --> 00:27:06,820
Och det var verkligen så här…
694 00:27:06,820 --> 00:27:08,820
Det här stör inte honom någonting alls.
695 00:27:08,820 --> 00:27:10,820
Alltså han verkade knappt ens upprörd.
696 00:27:10,820 --> 00:27:11,820
Och han så här…
697 00:27:11,820 --> 00:27:12,820
Ja okej…
698 00:27:12,820 --> 00:27:14,820
Men för det första…
699 00:27:14,820 --> 00:27:16,820
Vi får ju inte använda det här…
700 00:27:16,820 --> 00:27:18,820
För att avlyssna någon så att…
701 00:27:18,820 --> 00:27:20,820
Någon är i USA liksom så att…
702 00:27:20,820 --> 00:27:22,820
Om någon gräver det här…
703 00:27:22,820 --> 00:27:24,820
Så kommer det bara visa sig att…
704 00:27:24,820 --> 00:27:26,820
Vi följer FISA kortprocesserna…
705 00:27:26,820 --> 00:27:28,820
Och det här…
706 00:27:28,820 --> 00:27:30,820
Det kommer förmodligen komma fram till att…
707 00:27:30,820 --> 00:27:32,820
Det har inte missbrukats överhuvudtaget.
708 00:27:32,820 --> 00:27:34,820
Och sen så…
709 00:27:34,820 --> 00:27:36,820
Så här…
710 00:27:36,820 --> 00:27:38,820
Okej…
711 00:27:38,820 --> 00:27:40,820
Det kanske är sant att CIA kan avlyssna…
712 00:27:40,820 --> 00:27:42,820
Din Samsung TV. Men…
713 00:27:42,820 --> 00:27:44,820
Samsung TV…
714 00:27:44,820 --> 00:27:46,820
Men ganska vanliga…
715 00:27:46,820 --> 00:27:48,820
Och det kan mycket väl vara så att någon person…
716 00:27:48,820 --> 00:27:50,820
Som du verkligen vill att CIA har koll på…
717 00:27:50,820 --> 00:27:52,820
Har en Samsung TV.
718 00:27:52,820 --> 00:27:54,820
Så att du vill förmodligen…
719 00:27:54,820 --> 00:27:56,820
Att vi avlyssnar den personen…
720 00:27:56,820 --> 00:27:58,820
För att det lägger rikets intresse.
721 00:27:58,820 --> 00:28:00,820
Och han var så chill…
722 00:28:00,820 --> 00:28:02,820
Och han var så trevlig…
723 00:28:02,820 --> 00:28:04,820
Och han var så najs…
724 00:28:04,820 --> 00:28:06,820
Och jag tänkte… Herregud vad har hänt med honom?
725 00:28:06,820 --> 00:28:08,820
Plötsligt tycker jag om den här människan.
726 00:28:08,820 --> 00:28:10,820
Han verkar asturt trevlig.
727 00:28:10,820 --> 00:28:12,820
Han är så balanserad och bara ler.
728 00:28:12,820 --> 00:28:14,820
Han har verkligen gått igenom…
729 00:28:14,820 --> 00:28:16,820
Men det ligger ju mycket i det där just då.
730 00:28:16,820 --> 00:28:18,820
Och det är därför jag tänker på…
731 00:28:18,820 --> 00:28:20,820
Vad är…
732 00:28:20,820 --> 00:28:22,820
Vad är Wikileaks agenda i detta?
733 00:28:22,820 --> 00:28:24,820
Och vad sitter de och håller på?
734 00:28:24,820 --> 00:28:26,820
För att…
735 00:28:26,820 --> 00:28:28,820
Jag menar om man…
736 00:28:28,820 --> 00:28:30,820
Om man verkligen droppar hela godisboxen…
737 00:28:30,820 --> 00:28:32,820
Då…
738 00:28:32,820 --> 00:28:34,820
Då har du bränt…
739 00:28:34,820 --> 00:28:36,820
Då har du bränt en vansinnig massa arbete.
740 00:28:36,820 --> 00:28:38,820
För många underrättelsetjänster antagligen.
741 00:28:38,820 --> 00:28:40,820
Och…
742 00:28:40,820 --> 00:28:42,820
Ja, industrispioner och allt möjligt.
743 00:28:42,820 --> 00:28:44,820
På tal om deras…
744 00:28:44,820 --> 00:28:46,820
Ja, vi pratade ju om det i vår förra…
745 00:28:46,820 --> 00:28:48,820
Där med att…
746 00:28:48,820 --> 00:28:50,820
Du tenderar… De tenderar ju att ha en…
747 00:28:50,820 --> 00:28:52,820
En sån där zero-day stockpile.
748 00:28:52,820 --> 00:28:54,820
Brukar ju liksom normalt sett…
749 00:28:54,820 --> 00:28:56,820
Det var 6% per år.
750 00:28:56,820 --> 00:28:58,820
Så att det kan ju vara väldigt dyrt…
751 00:28:58,820 --> 00:29:00,820
Om det läcker ut verktyg.
752 00:29:00,820 --> 00:29:02,820
På tal om agenda då…
753 00:29:02,820 --> 00:29:04,820
Så en sak de har dratt ganska hårt i…
754 00:29:04,820 --> 00:29:06,820
Det är…
755 00:29:06,820 --> 00:29:08,820
En liten liten del som heter…
756 00:29:08,820 --> 00:29:10,820
Umbridge eller något här.
757 00:29:10,820 --> 00:29:12,820
I den här…
758 00:29:12,820 --> 00:29:14,820
Och där handlar det om…
759 00:29:14,820 --> 00:29:16,820
Det var ett litet bibliotek där C&A då samlade på sig…
760 00:29:16,820 --> 00:29:18,820
Små, små verktyg…
761 00:29:18,820 --> 00:29:20,820
Och codesnippets…
762 00:29:20,820 --> 00:29:22,820
Som de hade fått…
763 00:29:22,820 --> 00:29:24,820
Hittat i andra…
764 00:29:24,820 --> 00:29:26,820
Andra organisationers attacker.
765 00:29:26,820 --> 00:29:28,820
Det kunde ha varit Malware eller det kunde ha varit…
766 00:29:28,820 --> 00:29:30,820
Ryska organisationer som gjorde…
767 00:29:30,820 --> 00:29:32,820
Riktiga operationer och så vidare.
768 00:29:32,820 --> 00:29:34,820
Så hittade de liksom lite codesnippets där som kunde vara bra…
769 00:29:34,820 --> 00:29:36,820
Och använda…
770 00:29:36,820 --> 00:29:38,820
Code reuse för att slippa bygga alla…
771 00:29:38,820 --> 00:29:40,820
Det tolkade man som att…
772 00:29:40,820 --> 00:29:42,820
För på ett annat ställe…
773 00:29:42,820 --> 00:29:44,820
Så stod det att…
774 00:29:44,820 --> 00:29:46,820
Vad kan vi lära oss ifrån…
775 00:29:46,820 --> 00:29:48,820
Inte Shadow Brokers…
776 00:29:48,820 --> 00:29:50,820
Utan…
777 00:29:50,820 --> 00:29:52,820
Vad hette de?
778 00:29:52,820 --> 00:29:54,820
Den gruppen i Shadow Brokers som blev…
779 00:29:54,820 --> 00:29:56,820
C&A-gruppen som blev…
780 00:29:56,820 --> 00:29:58,820
Droppad så att säga.
781 00:29:58,820 --> 00:30:00,820
Vars prylar de…
782 00:30:00,820 --> 00:30:02,820
De hade ett namn på det här för mig.
783 00:30:02,820 --> 00:30:04,820
Eller NSA menar jag.
784 00:30:04,820 --> 00:30:06,820
NSA, TO, Equation Games…
785 00:30:06,820 --> 00:30:08,820
Equation Group.
786 00:30:08,820 --> 00:30:10,820
Men Equation Group fanns ett dokument som hette…
787 00:30:10,820 --> 00:30:12,820
I C&A-duppen.
788 00:30:12,820 --> 00:30:14,820
Ja fast det är också så här…
789 00:30:14,820 --> 00:30:16,820
Rapporten för Equation Groups utredningen…
790 00:30:16,820 --> 00:30:18,820
Den är också där.
791 00:30:18,820 --> 00:30:20,820
Ducu…
792 00:30:20,820 --> 00:30:22,820
Kasparska utredningen.
793 00:30:22,820 --> 00:30:24,820
De är ju med där.
794 00:30:24,820 --> 00:30:26,820
De har vi också läst.
795 00:30:26,820 --> 00:30:28,820
Men det här var ett internt dokument då.
796 00:30:28,820 --> 00:30:30,820
Vad kan C&A lära sig av Equation Group?
797 00:30:30,820 --> 00:30:32,820
Blunden, så inte vi gör av dem samma sak.
798 00:30:32,820 --> 00:30:34,820
För det känns som att det här är ju…
799 00:30:34,820 --> 00:30:36,820
Det känns verkligen som att det här är någons…
800 00:30:36,820 --> 00:30:38,820
Privata repository.
801 00:30:38,820 --> 00:30:40,820
Jag kan inte komma bort ifrån det.
802 00:30:40,820 --> 00:30:42,820
Det jag tittade på…
803 00:30:42,820 --> 00:30:44,820
Ett dokument som var nåt så här…
804 00:30:44,820 --> 00:30:46,820
Typ do’s and don’ts.
805 00:30:46,820 --> 00:30:48,820
Ja, det var typ den.
806 00:30:48,820 --> 00:30:50,820
Och där analyserade nån och sa så här att…
807 00:30:50,820 --> 00:30:52,820
Ja, det är inte bra…
808 00:30:52,820 --> 00:30:54,820
Att ha ett sånt här tydligt modus operandi…
809 00:30:54,820 --> 00:30:56,820
Med färdiga byggkedjor och så vidare.
810 00:30:56,820 --> 00:30:58,820
För att vi lämnar artefakter…
811 00:30:58,820 --> 00:31:00,820
Efter oss. Och de hade ju använt…
812 00:31:00,820 --> 00:31:02,820
Equation Group använde ju vissa…
813 00:31:02,820 --> 00:31:04,820
Hash-metoder som var ganska ovanliga att använda.
814 00:31:04,820 --> 00:31:06,820
Och på det…
815 00:31:06,820 --> 00:31:08,820
Hade vi då identifiera vilka…
816 00:31:08,820 --> 00:31:10,820
Kampanjer som Equation Group hade…
817 00:31:10,820 --> 00:31:12,820
Läggat bakom. Så då var det liksom en…
818 00:31:12,820 --> 00:31:14,820
Slutlinje av det var att använda standardiserade…
819 00:31:14,820 --> 00:31:16,820
Mjukvaror och…
820 00:31:16,820 --> 00:31:18,820
Försök att undvika de här speciella…
821 00:31:18,820 --> 00:31:20,820
Sakerna som kan identifiera oss.
822 00:31:20,820 --> 00:31:22,820
De två elementen, det vill säga att de hade…
823 00:31:22,820 --> 00:31:24,820
En lessons learned från Equation Group…
824 00:31:24,820 --> 00:31:26,820
Och att de hade ett library då…
825 00:31:26,820 --> 00:31:28,820
Bestående av massa andra gruppers…
826 00:31:28,820 --> 00:31:30,820
Hacking-verktyg. Det slog dem ihop…
827 00:31:30,820 --> 00:31:32,820
Som ett litet bevis…
828 00:31:32,820 --> 00:31:34,820
För att…
829 00:31:34,820 --> 00:31:36,820
Att CIA planerar…
830 00:31:36,820 --> 00:31:38,820
Att göra false flag operationer.
831 00:31:38,820 --> 00:31:40,820
För de har ju fingerprints…
832 00:31:40,820 --> 00:31:42,820
Av andra operationer som de kan då…
833 00:31:42,820 --> 00:31:44,820
Använda och plantera in i sina egna.
834 00:31:44,820 --> 00:31:46,820
Och det här i sin tur bevisar ju…
835 00:31:46,820 --> 00:31:48,820
Att det inte var ryssarna som hackade DNC.
836 00:31:48,820 --> 00:31:50,820
Det var CIA som gjorde det.
837 00:31:50,820 --> 00:31:52,820
Och det är alltså…
838 00:31:52,820 --> 00:31:54,820
Ni skrattar. Det här är superstort i USA…
839 00:31:54,820 --> 00:31:56,820
Bland alternativ media just nu.
840 00:31:56,820 --> 00:31:58,820
Varenda sådan alternativ media kör…
841 00:31:58,820 --> 00:32:00,820
En artikel på det här just nu. False media.
842 00:32:00,820 --> 00:32:02,820
Så då sitter man såhär…
843 00:32:02,820 --> 00:32:04,820
Okej, så att de…
844 00:32:04,820 --> 00:32:06,820
Det börjar bli hett här nu…
845 00:32:06,820 --> 00:32:08,820
I Trump-leden för det är såhär…
846 00:32:08,820 --> 00:32:10,820
Ryska kopplingar och sånt.
847 00:32:10,820 --> 00:32:12,820
Nu får vi göra en sån här…
848 00:32:12,820 --> 00:32:14,820
This is not the droids you’re looking for-kampanj.
849 00:32:14,820 --> 00:32:16,820
Och helt plötsligt så kommer Wikileaks.
850 00:32:16,820 --> 00:32:18,820
Som vi har varit ganska mycket…
851 00:32:18,820 --> 00:32:20,820
Inblandade i och…
852 00:32:20,820 --> 00:32:22,820
Smutsar ner Hilton tidigare dessutom.
853 00:32:22,820 --> 00:32:24,820
Och… Clinton.
854 00:32:24,820 --> 00:32:26,820
Vad sa jag? Hilton.
855 00:32:26,820 --> 00:32:28,820
Det var hon med Tinkerbell.
856 00:32:28,820 --> 00:32:30,820
Det var en annan.
857 00:32:30,820 --> 00:32:32,820
Clinton.
858 00:32:32,820 --> 00:32:34,820
Men i alla fall…
859 00:32:34,820 --> 00:32:36,820
Skysst tajming.
860 00:32:36,820 --> 00:32:38,820
Jag kan tänka mig att Trump gillar nog…
861 00:32:38,820 --> 00:32:40,820
Assange just nu.
862 00:32:40,820 --> 00:32:42,820
Det är precis det jag menar.
863 00:32:42,820 --> 00:32:44,820
Jag funderar just på det här med att alla har en politisk agenda.
864 00:32:44,820 --> 00:32:46,820
Jag funderar på vad är…
865 00:32:46,820 --> 00:32:48,820
Vad är syftet med den här läckan?
866 00:32:48,820 --> 00:32:50,820
För att det finns alltid ett syfte.
867 00:32:50,820 --> 00:32:52,820
Ja, du menar när man lägger såhär mycket…
868 00:32:52,820 --> 00:32:54,820
Kost någonstans så finns det…
869 00:32:54,820 --> 00:32:56,820
Spännande.
870 00:32:56,820 --> 00:32:58,820
Vi kanske blir varse när…
871 00:32:58,820 --> 00:33:00,820
Year 2 och Year 3 och så vidare kommer.
872 00:33:00,820 --> 00:33:02,820
Kan det här vara någon Star Wars sequel?
873 00:33:02,820 --> 00:33:04,820
Vi kommer se. Kanske. Hoppas det.
874 00:33:04,820 --> 00:33:06,820
28 avsnitt kanske?
875 00:33:06,820 --> 00:33:08,820
Ja, jag vet inte.
876 00:33:08,820 --> 00:33:10,820
Jag har för mig att jag läste någonstans att det var från
877 00:33:10,820 --> 00:33:12,820
2013 till 2016. Så det kan ju vara
878 00:33:12,820 --> 00:33:14,820
Year 0 är 2013 då och sen sen 14.
879 00:33:14,820 --> 00:33:16,820
Du har rätt såhär för att det finns en massa
880 00:33:16,820 --> 00:33:18,820
screenshots med och de…
881 00:33:18,820 --> 00:33:20,820
Filnamnen blir en
882 00:33:20,820 --> 00:33:22,820
print of datum.
883 00:33:22,820 --> 00:33:24,820
Och där har jag en screenshot från 2016
884 00:33:24,820 --> 00:33:26,820
i alla
885 00:33:26,820 --> 00:33:28,820
amerikansk datum.
886 00:33:28,820 --> 00:33:30,820
2.12 och så vidare.
887 00:33:32,820 --> 00:33:34,820
Så det finns ju… Ja.
888 00:33:34,820 --> 00:33:36,820
Det finns ju faktiskt nyare grejer då.
889 00:33:36,820 --> 00:33:38,820
Ja men det blir ju väldigt spännande
890 00:33:38,820 --> 00:33:40,820
att se sen vem som har
891 00:33:40,820 --> 00:33:42,820
läckt. För jag menar, vi har ju möjligheten
892 00:33:42,820 --> 00:33:44,820
att det är ett intrång från
893 00:33:44,820 --> 00:33:46,820
typ FSB eller liknande
894 00:33:46,820 --> 00:33:48,820
som har tagits in hos sig.
895 00:33:48,820 --> 00:33:50,820
Det kan också vara
896 00:33:50,820 --> 00:33:52,820
motsvarande typ Snowden
897 00:33:52,820 --> 00:33:54,820
och Chelsea Manning och så.
898 00:33:54,820 --> 00:33:56,820
Jag tror det är en Snowden-grej det här.
899 00:33:56,820 --> 00:33:58,820
Det känns internt.
900 00:33:58,820 --> 00:34:00,820
Det känns jätteinternt.
901 00:34:00,820 --> 00:34:02,820
Men det matchar så dåligt med
902 00:34:02,820 --> 00:34:04,820
att det är
903 00:34:04,820 --> 00:34:06,820
nonsens som
904 00:34:06,820 --> 00:34:08,820
läcker ut då liksom. För om vi
905 00:34:08,820 --> 00:34:10,820
tittar på till exempel Chelsea Manning
906 00:34:10,820 --> 00:34:12,820
så fanns det ju…
907 00:34:12,820 --> 00:34:14,820
Det var ju ändå liksom en…
908 00:34:14,820 --> 00:34:16,820
Det här är bara början.
909 00:34:16,820 --> 00:34:18,820
Det här är bara början.
910 00:34:18,820 --> 00:34:20,820
Jag tänker såhär.
911 00:34:20,820 --> 00:34:22,820
Vi behöver ha OPSEC.
912 00:34:22,820 --> 00:34:24,820
Det är viktigt. Vi är ändå en underrättelsetjänst.
913 00:34:24,820 --> 00:34:26,820
Okej.
914 00:34:26,820 --> 00:34:28,820
Hur ska vi få våra galna
915 00:34:28,820 --> 00:34:30,820
cybersäkerhetsnördar
916 00:34:30,820 --> 00:34:32,820
att leka säkert?
917 00:34:32,820 --> 00:34:34,820
Jo, vi får bygga ett R-grabbat
918 00:34:34,820 --> 00:34:36,820
leknät för dem.
919 00:34:36,820 --> 00:34:38,820
Då går man in i konferensrummet och säger
920 00:34:38,820 --> 00:34:40,820
Tjena grabbar, nu ska vi bygga
921 00:34:40,820 --> 00:34:42,820
lek- och stojland. Vad vill ni ha?
922 00:34:42,820 --> 00:34:44,820
Vi behöver det här och det här. De preppar hårdvara.
923 00:34:44,820 --> 00:34:46,820
De får datorer som inte
924 00:34:46,820 --> 00:34:48,820
får lov att lämna jobbet.
925 00:34:48,820 --> 00:34:50,820
Men de har uppenbarligen internet på datorerna för att de kan
926 00:34:50,820 --> 00:34:52,820
ladda ner alla de här white papers
927 00:34:52,820 --> 00:34:54,820
och
928 00:34:54,820 --> 00:34:56,820
få manualer och sånt. Så det är inte helt
929 00:34:56,820 --> 00:34:58,820
R-grabbat. Men de kommer ju ändå åt internet på något sätt.
930 00:34:58,820 --> 00:35:00,820
Det är LANet och det är labbet. Stå där
931 00:35:00,820 --> 00:35:02,820
statiskt. Någon kommer in och
932 00:35:02,820 --> 00:35:04,820
snor allting i labbet.
933 00:35:04,820 --> 00:35:06,820
Och sen så får man då den här dumpen som hävdas vara
934 00:35:06,820 --> 00:35:08,820
8700 filer.
935 00:35:08,820 --> 00:35:10,820
Då kanske man börjar släppa
936 00:35:10,820 --> 00:35:12,820
en dator i taget. Eller att man
937 00:35:12,820 --> 00:35:14,820
kanske släpper det som är
938 00:35:14,820 --> 00:35:16,820
user…
939 00:35:16,820 --> 00:35:18,820
Men om vi tänker efter nu.
940 00:35:18,820 --> 00:35:20,820
8000 filer är ju…
941 00:35:20,820 --> 00:35:22,820
Det beror på vad en fil är i sammanhanget.
942 00:35:22,820 --> 00:35:24,820
Men det låter inte så mycket egentligen.
943 00:35:26,820 --> 00:35:28,820
Sant.
944 00:35:28,820 --> 00:35:30,820
Helt sant. Samtidigt som de hävdar att
945 00:35:30,820 --> 00:35:32,820
the biggest intelligence leak in history.
946 00:35:32,820 --> 00:35:34,820
Men var inte det så att den här dumpen
947 00:35:34,820 --> 00:35:36,820
var 8000 filer? Var det så det var?
948 00:35:36,820 --> 00:35:38,820
Det kan ha varit så att det kommer mer.
949 00:35:38,820 --> 00:35:40,820
Jag har inte koll på det.
950 00:35:40,820 --> 00:35:42,820
Men hur som helst så…
951 00:35:42,820 --> 00:35:44,820
Det ska bli intressant
952 00:35:44,820 --> 00:35:46,820
att följa den här följetonken. Ja, absolut.
953 00:35:46,820 --> 00:35:48,820
För jag tycker inte att det är någon
954 00:35:48,820 --> 00:35:50,820
strukturerad grej. Det var ju
955 00:35:50,820 --> 00:35:52,820
den som, the alleged
956 00:35:52,820 --> 00:35:54,820
stage server
957 00:35:54,820 --> 00:35:56,820
den som blev hackad med exploits på
958 00:35:56,820 --> 00:35:58,820
de här banana, epic banana
959 00:35:58,820 --> 00:36:00,820
plantaten och det. Där låg ju ändå
960 00:36:00,820 --> 00:36:02,820
skiten i ordningen då. Det var ju ändå någon
961 00:36:02,820 --> 00:36:04,820
form utav, det här är ju bara en röra liksom.
962 00:36:04,820 --> 00:36:06,820
Dessutom fanns det ju en del
963 00:36:06,820 --> 00:36:08,820
typ okända exploits
964 00:36:08,820 --> 00:36:10,820
som var tvungna att patchas. Det har vi inte
965 00:36:10,820 --> 00:36:12,820
sett någonting av här än. Nej, alltså vi har väl inte
966 00:36:12,820 --> 00:36:14,820
sett någon…
967 00:36:14,820 --> 00:36:16,820
Jag har inte sett tecken på Zero Day alls i det här.
968 00:36:16,820 --> 00:36:18,820
Nej, och det finns inte heller någon
969 00:36:18,820 --> 00:36:20,820
smoking gun där man pekar ut
970 00:36:20,820 --> 00:36:22,820
någonting av vikt
971 00:36:22,820 --> 00:36:24,820
eller någonting liksom. Däremot
972 00:36:24,820 --> 00:36:26,820
vad man pekar ut däremot
973 00:36:26,820 --> 00:36:28,820
det är binärer som är
974 00:36:28,820 --> 00:36:30,820
den som man har DLL
975 00:36:30,820 --> 00:36:32,820
injection möjligheter i, men det är ju såhär
976 00:36:32,820 --> 00:36:34,820
äger vi ett operativsystem
977 00:36:34,820 --> 00:36:36,820
så äger vi ett operativsystem.
978 00:36:36,820 --> 00:36:38,820
Jo, den här typ
979 00:36:38,820 --> 00:36:40,820
vad var det typ att om du kickar igång
980 00:36:40,820 --> 00:36:42,820
Notepad++
981 00:36:42,820 --> 00:36:44,820
och så ligger det en DLL i samma folder
982 00:36:44,820 --> 00:36:46,820
som du startade Notepad++. Och det är ju såhär
983 00:36:46,820 --> 00:36:48,820
klassisk search order DLL
984 00:36:48,820 --> 00:36:50,820
injection såhär. Hur ska man
985 00:36:50,820 --> 00:36:52,820
skydda sig mot det då?
986 00:36:52,820 --> 00:36:54,820
Ja, du kan ju få Microsoft att ändra sina
987 00:36:54,820 --> 00:36:56,820
sökpar. Ja, alltså i
988 00:36:56,820 --> 00:36:58,820
Notepad++ då så hade de typ
989 00:36:58,820 --> 00:37:00,820
signerat den binären som
990 00:37:00,820 --> 00:37:02,820
behövs. Alltså det är såhär, ja
991 00:37:02,820 --> 00:37:04,820
men byt ta någon annan binär då.
992 00:37:04,820 --> 00:37:06,820
Alltså post exploitation är ju vad det är.
993 00:37:06,820 --> 00:37:08,820
Däremot så har vi ju sett
994 00:37:08,820 --> 00:37:10,820
bevis på att de har
995 00:37:10,820 --> 00:37:12,820
persistence mjukvara då.
996 00:37:12,820 --> 00:37:14,820
De kallar det, eller vi kallar det implantat
997 00:37:14,820 --> 00:37:16,820
här, men där de kör binärer
998 00:37:16,820 --> 00:37:18,820
som de patchar systemet med som gör att man får
999 00:37:18,820 --> 00:37:20,820
ja, det vet vi inte vad man får men
1000 00:37:20,820 --> 00:37:22,820
de kör skit som de har byggt
1001 00:37:22,820 --> 00:37:24,820
själva på systemet liksom.
1002 00:37:24,820 --> 00:37:26,820
Men det är ju intressant att de
1003 00:37:26,820 --> 00:37:28,820
om det här är från
1004 00:37:28,820 --> 00:37:30,820
2013 och de
1005 00:37:30,820 --> 00:37:32,820
men det är klart det fanns publikt
1006 00:37:32,820 --> 00:37:34,820
research på en grepp av Qualcomm-plattformarna
1007 00:37:34,820 --> 00:37:36,820
då också liksom så att
1008 00:37:36,820 --> 00:37:38,820
Ja, eller hur? Det är det jag känner också.
1009 00:37:38,820 --> 00:37:40,820
Det är
1010 00:37:40,820 --> 00:37:42,820
och att man kan hacka
1011 00:37:42,820 --> 00:37:44,820
smart-tv så jag menar det är våran avsnitt
1012 00:37:44,820 --> 00:37:46,820
om smarta hemmor vi pratade om
1013 00:37:46,820 --> 00:37:48,820
och sådär liksom alltså det är
1014 00:37:48,820 --> 00:37:50,820
Ja, det är många många år sedan. Jo, men eller hur?
1015 00:37:50,820 --> 00:37:52,820
Det snackade vi om för fyra år sedan så att ja visst.
1016 00:37:52,820 --> 00:37:54,820
Så liksom, men det
1017 00:37:54,820 --> 00:37:56,820
känns verkligen inte som att det är
1018 00:37:56,820 --> 00:37:58,820
liksom Olympic Games
1019 00:37:58,820 --> 00:38:00,820
Nej, det känns som att det skulle kunna vara
1020 00:38:00,820 --> 00:38:02,820
vilken säkerhetsstolsdator som helst
1021 00:38:02,820 --> 00:38:04,820
Man behöver inte vara Olympic Games
1022 00:38:04,820 --> 00:38:06,820
Nej, inte alls. Det här är
1023 00:38:06,820 --> 00:38:08,820
adekvat förmodligen för de flesta mål
1024 00:38:08,820 --> 00:38:10,820
de har. Och det kanske till och med är bra
1025 00:38:10,820 --> 00:38:12,820
för vi var inne på det här just det, ja men
1026 00:38:12,820 --> 00:38:14,820
Equation Group använde
1027 00:38:14,820 --> 00:38:16,820
just de här sofistikerade hash-metoderna
1028 00:38:16,820 --> 00:38:18,820
så vi kunde spåra dem. Det är kanske bra
1029 00:38:18,820 --> 00:38:20,820
att använda Shotgun Approach då
1030 00:38:20,820 --> 00:38:22,820
använda sådant som är vitt, sprett och används
1031 00:38:22,820 --> 00:38:24,820
Ja, de kineserna har väl
1032 00:38:24,820 --> 00:38:26,820
varit omtalade att de kör så jävla
1033 00:38:26,820 --> 00:38:28,820
dåligt snitt på sina grejer och sådär men
1034 00:38:28,820 --> 00:38:30,820
de kommer ju
1035 00:38:30,820 --> 00:38:32,820
fan in på varenda jävla företag i hela världen
1036 00:38:32,820 --> 00:38:34,820
ändå. Vad är det man säger, plausible
1037 00:38:34,820 --> 00:38:36,820
deniability eller vad är det man säger
1038 00:38:36,820 --> 00:38:38,820
sen när de gör forensikanalysen
1039 00:38:38,820 --> 00:38:40,820
ja men det här kan vara vad som helst
1040 00:38:40,820 --> 00:38:42,820
Nej men på riktigt, det handlar om ROI
1041 00:38:42,820 --> 00:38:44,820
alltså det är
1042 00:38:44,820 --> 00:38:46,820
varför sätta ett gäng
1043 00:38:46,820 --> 00:38:48,820
riktigt smarta människor på
1044 00:38:48,820 --> 00:38:50,820
och utveckla någonting
1045 00:38:50,820 --> 00:38:52,820
super cutting edge när du kan
1046 00:38:52,820 --> 00:38:54,820
ta dig in på vilket företag som helst med
1047 00:38:54,820 --> 00:38:56,820
extremt low hanging fruit
1048 00:38:56,820 --> 00:38:58,820
Ja, och det är man bra på
1049 00:38:58,820 --> 00:39:00,820
det här avsnittet
1050 00:39:00,820 --> 00:39:02,820
vad är det för dag idag
1051 00:39:02,820 --> 00:39:04,820
det är en torsdag och det är
1052 00:39:04,820 --> 00:39:06,820
den nionde mars
1053 00:39:06,820 --> 00:39:08,820
så det kan ju ha kommit mer spännande
1054 00:39:08,820 --> 00:39:10,820
göttighet när det här avsnittet släpps
1055 00:39:10,820 --> 00:39:12,820
men vi kommer ju få en anledning till att följa upp det här
1056 00:39:12,820 --> 00:39:14,820
och jag hoppas att det är mer än
1057 00:39:14,820 --> 00:39:16,820
Star Wars år
1058 00:39:16,820 --> 00:39:18,820
på det här, eller episoder, jag hoppas att det
1059 00:39:18,820 --> 00:39:20,820
blir mycket för sånt här är ju
1060 00:39:20,820 --> 00:39:22,820
roligt att se
1061 00:39:22,820 --> 00:39:24,820
Ja precis, inte nödvändigtvis att vi
1062 00:39:24,820 --> 00:39:26,820
hoppar som att vi manar någonting
1063 00:39:26,820 --> 00:39:28,820
men alltså att det är
1064 00:39:28,820 --> 00:39:30,820
och om det kommer göttigt så
1065 00:39:30,820 --> 00:39:32,820
är det ju spännande underhållningsvärde
1066 00:39:32,820 --> 00:39:34,820
om inte man får det, herregud ja
1067 00:39:34,820 --> 00:39:36,820
Coolt, ska vi
1068 00:39:36,820 --> 00:39:38,820
rappa?
1069 00:39:38,820 --> 00:39:40,820
Kul att du ville vara med och lyssna
1070 00:39:40,820 --> 00:39:42,820
på det här avsnittet om
1071 00:39:42,820 --> 00:39:44,820
vårt 7
1072 00:39:44,820 --> 00:39:46,820
Vi som pratar idag
1073 00:39:46,820 --> 00:39:48,820
jag heter Rickard Bodfors
1074 00:39:48,820 --> 00:39:50,820
med mig hade jag Peter Magnusson
1075 00:39:52,820 --> 00:39:54,820
Mattias Lidhagen
1076 00:39:54,820 --> 00:39:56,820
och Jesper Larsson
1077 00:39:56,820 --> 00:39:58,820
Stämmer bra, har det fett
1078 00:39:58,820 --> 00:40:00,820
Det hade ju gått
1079 00:40:00,820 --> 00:40:02,820
Så gott, godnatt