Säkerhetspodcasten #281 - Ostrukturerat V.18
CVE, CISA kaos, 4chan ghostscript hack, captcha self-exec, HPE RMI, Erlang OTP, ondregelfil, TLS 47 dagar, Curl säker C-kod.
Lyssna
- mp3, längd: 01:02:36
Plugs
Vi promotar random kul vagt relaterat till säkerhet:
- Hack GBGay 2025, May 17th 2025, LGBTQ+
- Security Fest - IT Security Conference, Gothenburg, Sweden
- BSides Ume 2025 (10-11 June 2025): Overview · Indico
- SEC-T
Lyssnarbrev
Fler Anekdoter
Johan Wranker om Anekdoter:
Anekdoter tyckte jag var skitskoj och jag skulle vilja höra fler!
Vad sägs om att vi tillsammans crowdsårcar in lite anekdotter! Jag gissar att det finns fler som har har det på lager. så om ni skickar in ljudfiler med era historia; korta, långa - Jag har ingen aning!
och sen kan gänget klippa ihop det här och släppa det kanske under sommaren så vi får möjligt avnjuta dem tillsammans med en grillöl!
Mejla kontakt@sakerhetspodcasten.se !
Återkoppling om förmyndarskap, God man och förvaltare
David S påtalar att vi borde varit tydligare i avsnitt 279,
Två typer av förmyndarskap:
- […] en god man är som en rådgivare. […] En god man kan bara ge råd att det här är ett bra beslut/det här är inte ett bra beslut.
- Har man förvaltare så har man ingen juridisk rätt att ingå avtal alls. Det finns dock ett undantag och det är att man får ingå avtal om anställning.
Mynding:
Oavsett om man har förvaltare eller god man så betraktas man som myndig. […]
I övrigt så har man rösträtt, man har rätt att gifta sig så man är myndig enligt lag, fast med vissa begränsningar.
Mullvad Browser
Vi kunde varit tydligare i avsnitt 280 om att Mullvad Browser är en privacy-orienterad browser.
- Mullvad Browser Free the internet. With the Mullvad Browser. […] However, by using a trustworthy VPN in combination with a privacy-focused browser, you can put up a better resistance against the mass surveillance of today. That’s why we partnered with the Tor Project to develop Mullvad Browser – a browser designed to minimize tracking and fingerprints.
Kaos: CVE-databasen, MITRE, …
00:09:49
CVE som vi lutat oss mot i 25 års tid är nu hotat av kriserna runt
CISA och den amerikanska regeringen.
Länkar:
- Reuters/ A.J. Vicens and Raphael Satter: US funding running out for critical cyber vulnerability database, manager says
- YouTube/ John Hammond: cybersecurity just got f***ed
video - X/@0xTib3rius: …MITRE support for the CVE program is due to expire tomorrow…
Kaos: Trump förklarar krig mot Chris Krebs, CISA, SentinelOne
00:12:07
Trump är jättearg på sin gamla CISA chef och
har bett Department of Justice att jaga honom…
Länkar:
- Risky Business #788 – Trump targets Chris Krebs, SentinelOne - Risky Business Media - On this week’s show Patrick Gray talks to former NSA Cybersecurity Director Rob Joyce about Donald Trump’s unprecedented, unwarranted and …
- Reuters/ Raphael Satter and A.J. Vicens: Cybersecurity industry falls silent as Trump turns ire on SentinelOne
- Forbes: The Cybersecurity Risk Of Ignoring Trump’s Attack On Chris Krebs
- Axios/ Sam Sabin: Trump orders investigations into 2 DHS officials from his first term
- Addressing Risks from Chris Krebs and Government Censorship – The White House
- Fact Sheet: President Donald J. Trump Addresses Risks from Chris Krebs and Government Censorship – The White House - RESTORING TRUST IN GOVERNMENT: Today, President Donald J. Trump signed a Presidential Memorandum revoking any active security clearance held by Chris
Kaos: vågar du resa till Defcon/BlackHat?
00:15:06
En del off-topic snack om att flyga till USA för Defcon, Blackhat
kan vara ett intressant val…
Nu när nyheter om att CBP/immigration kastar turister i fängelse om
något ens verkar det minsta knepigt.
En del säkerhetsnördar verkar nog skummare än en genomsnittlig turist.
Svenska varningarna är lite försiktiga;
Resenärer till USA uppmanas att undersöka viserings- och transitregler med den amerikanska ambassaden i Stockholm i god tid.
Tidigare domar i USA, vilseledande eller felaktiga uppgifter om syftet med din vistelse, underlåtenhet att genomgå inspektion eller kroppsvisitation (t.ex. kan elektronisk utrustning genomsökas) eller överskridande av vistelsetiden kan få allvarliga konsekvenser.
Att inte följa USA:s immigrationslagar kan leda till avslag vid gränsen, frihetsberövande och/eller utvisning från USA.
Tyskland, Danmark, Finland, Nederländerna, och Irland varnar mer explicit för resor till USA. Transexuella bedöms ha högre risk vid inresa.
EU-anställda får inte flyga med arbetsdatorer till USA, på grund av risker för datastöld eller bakdörrning vid gränsen, enligt Financial Times.
“The transatlantic alliance is over,” an EU official told the newspaper, which reported the commission “is issuing burner phones and basic laptops to some US-bound staff to avoid the risk of espionage — a measure traditionally reserved for trips to China.”
Länkar:
- Sweden Abroad: In- och utresebestämmelser
- dw.com/ Natalie Muller: Germany updates US travel advice after citizens detained – DW – 03/20/2025 - The Foreign Office stressed that the new advisory does not constitute a travel warning. It comes after US immigration authorities detained multiple German nationals upon arrival.
- The Independent/ Mary Papenfuss: Germany and Britain issue warnings about traveling to America - News of ugly travel experiences and anger at the US are expected to have major negative impacts on America’s tourism industry
- The Register/ Iain Thomson: Report - EC issues burner phones for visits to US
- Financial Times/ Andy Bounds: EU issues US-bound staff with burner phones over spying fears
Incident: 4chan hackat
00:17:39
Enligt uppgifter är det ett PostScript
baserat exploit mot Ghostscript
och 4chan skall ha kört version från 2012?
Det finns massvis med code execution sårbarheter publicerade för
Ghostscript…
Vi spekulerar lite; hur skulle man egentligen göra om man vill ha PDF m.m. uploads och processning för en högrisk sajt? Sandbox? Container? Inte alls?
Länkar:
- YouTube/ Low Level: This Might Be The End of 4chan..
video - YouTube/ The Lunduke Journal: 4Chan Hack Reveals University Professor Moderators, 10 Million Bans, 10 Year Old Software
video - YouTube/ PC Security Channel: How a malware pdf hacked 4chan
video - CVE - Search Results: Ghostscript
Incident: Captcha Attack med Windows-R, Ctrl-V och Enter
00:24:19
Captcha attack lura användarna att Ctrl-V + Enter in i Windows Run... dialogen…
Varför göra self-XSS när man kan göra self-Run… ?
Tydligen en inte helt okänd attack-vektor enligt W3C Clipboard APIs; t.ex.:
(Self-XSS) Shell commands or executable script can be placed in the clipboard with the intent that the user will run the pasted content.
…Clipboard permission, user agents may choose to provide a method for the user to disable this API or to configure which sites are allowed to access it.
Så typ, berörda browsers hanterar väldokumenterade hot kasst.
Länkar:
- YouTube/ Digital Footprint: Fake CAPTCHAs Are Taking Over the Internet. Here’s How to Spot Them.
video - MDN Web Docs: Clipboard API - Web APIs | MDN
- W3C: Clipboard API and events
Bugg: SSH demon för Erlang OTP helt osäker (CVE-2025-32433)
00:31:46
Erlang OTP SSH demon:
Ingen auth alls behövs, bara att hoppa över auth-steget.
AI kunde skriva exploit utifrån diff enligt PlatformSecurity
och Low Level… lite väl överdrivet då early_rce testfall
fanns med i Erlang OTP källkod?
Erlang OTP: extra libbar till Erlang. Kanske står för Open Telecom Platform.
CVSS:
- CNA: GitHub, Inc.
- Base Score: 10.0
CRITICAL - Vector:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Länkar:
- YouTube/ Low Level: This AI Written Exploit Is A Hacker’s Dream (CVSS 10)
video - How I Used AI to Create a Working Exploit for CVE-2025-32433 Before Public PoCs Existed | Platform Security Blog - A step-by-step walkthrough of how I leveraged AI to analyze, understand, and exploit the Erlang SSH pre-authentication vulnerability (CVE-2025-32433) without any existing public proof of concept. Learn how AI is transforming vulnerability research and exploit development.
- NVD: CVE-2025-32433 Detail may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access…
- ssh: early RCE fix · erlang/otp@0fcd9c5 · GitHub
- Horizon3 Attack Team: Just finished reproducing CVE-2025-32433 …
- Open Telecom Platform - Wikipedia
Bugg: HPE Insight Cluster helt osäkert (CVE-2024-13804)
00:41:38
HPE Insight Cluster Management Utility (CMU) v8.2,
en gammal Java FX / JNLP klient.
Som jobbar mot en helt osäker RMI-server…
Som exponerar anroppet executeCmdLine(String cmd)
utan någon server-authenticering eller access kontroll…
String cmd = "touch /opt/cmu/GUI/config.txt";
try {
ModelDispatcher.getRMIModel().executeCmdLine(cmd);
Olöst efter 2 års hantering under bordet….
Nätverk. Oautentiserat. Multi-server / cluster hack.
CVSS:
- CISA-ADP
- Base Score: 9.8
CRITICAL - Vector:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Länkar:
- RCE In HPE Insight Cluster Management Utility (CVE-2024-13804) | Navigating The Shadows - I discovered an unauthenticated RCE in HPE CMU in 2023 by weaponising the Java client application against the server. The techniques discussed here, can also be applied to other Java applications.
- NVD: CVE-2024-13804 Detail Unauthenticated RCE in HPE Insight Cluster Management Utility
- HPE Insight Cluster Management Utility v8.2 HPE Insight Cluster Management Utility (CMU) is a proven and highly capable utility for the management of HPC and Big Data clusters and other high-performance, scale-out Linux environments.
Attackteknik mot AI: Github PR med bakdörrad regelfil
00:46:13
Ny prompt-injection attackteknik mot Cursor m.m.
- Lura någon att acceptera en Github Pull Request eller dylikt, med olika tekniker som förvirrar kod review.
- Förgiftar regelfilen för Cursor kodgenerering
- Cursor’s AI blir nu ond och skapar kass eller bakdörrad ond kod.
i.e. tre-stegs raket där brister i kodreview processer och användsgränsnitt är första steget, ond kod är sista steget.
What makes “Rules Files Backdoor” particularly dangerous is its persistent nature.
Persistent bakdörra projektets kodgenerering :-)
The attack leverages several technical mechanisms:
- Contextual Manipulation: Embedding instructions that appear legitimate but direct the AI to modify code generation behavior
- Unicode Obfuscation: Using zero-width joiners, bidirectional text markers, and other invisible characters to hide malicious instructions
- Semantic Hijacking: Exploiting the AI’s natural language understanding with subtle linguistic patterns that redirect code generation toward vulnerable implementations
- Cross-Agent Vulnerability: The attack works across different AI coding assistants, suggesting a systemic vulnerability
Länkar:
- Pillar Security: New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents
- YouTube/ Low Level: This Exploit Allows Me To Hack Any Vibecoder
video
Förbättringar: TLS Kortare livslängd
00:53:53
CA/Browser forum kortar ner livslängden för TLS certifikat
(7.1.2.7 Subscriber (Server) Certificate Profile).
Världens workaround för att vi på internet aldrig lyckades lösa revokeringsfrågorna, t.ex.;
- Vet sajter ens om ifall deras privata nycklar missbrukas? Eller om falska cert för deras sajt dykt upp i Transparency audit loggar?
- Få certifikat blir revokerade.
- Klienter inte ansluter till CRL, OCSP.
- Få klienter kräver OCSP stapling från servers.
- Prestanda om hela kedjan skall kollas innan du ansluter till en sajt?
Fail secure(säkert) vsFail open/Soft fail(fungera) när saker strular.
Tangent, Det finns naturligtvis OCSP stapling och multiple stapling,
men hur många sajter implementerar det?
Table: Reference for maximum Validity Periods of Subscriber Certificates
| Certificate issued on or after | Certificate issued before | Maximum Validity Period |
|---|---|---|
| March 15, 2026 | 398 days | |
| March 15, 2026 | March 15, 2027 | 200 days |
| March 15, 2027 | March 15, 2029 | 100 days |
| March 15, 2029 | 47 days |
Länkar:
- Risky Bulletin: CA/B Forum approves 47-days TLS certs - Risky Business Media
- SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods by clintwilson · Pull Request #553 · cabforum/servercert · GitHub - SC-081 Preamble Overview Expand Section 4.2.1 to detail the allowed data reuse periods for validation data (both for domains/IPs and for everything else in Section 3.2) Eventual reduction of non-…
- The Cloudflare Blog: High-reliability OCSP stapling and why it matters
Curl: Hur vi kodar C med relativt få säkerhetshål
00:59:45
Daniel Stenberg (Mr. Curl) har skrivit om hur curl
projektet jobbar med att skriva säker och stabil
C-kod för ett viktigt och välanvänt verktyg.
Några av punkterna Daniel skriver om:
- Testing
- analyzers
- fuzzing
- C89 / C is not memory-safe
- continuous non-stop iterating and polishing and never rewriting.
- Readability
- enkel kod.
- inga macron eller andra smarta trick som obfuskerar koden.
- korta funktioner.
- Narrow code and short names
- max 80 tecken per rad
- korta funktionsnamn
- Warning-free
- 220+ olika CI-kompileringar skall gå igenom utan en enda varning
- Avoid “bad” functions
- Buffer functions
- en uppsättning funktioner för alla “växande buffers” problem. Inte massvis med olika ad-hoc lösningar.
- Parsing functions
- egna parsers som gör enbart det de skall, istället för komplexa/generalla parsers
- Monitor memory function use
- monitorering över att minnesbetendet rör sig åt det håll utvecklarna vill, att ny kod inte börjar äta minne i onödan.
Länkar:
- daniel.haxx.se: Writing C for curl
- YouTube/ Low Level: is it possible to write SAFE C? (with BILLIONS of deployments)
video
Galen AI transkribering
Google försöker förstå oss. Bli inte för arg på den när den misslyckas.
1 00:00:00,000 –> 00:00:38,300
Hej och välkommen till säkerhetspodcasten jag som pratar heter Johan Rydberg Möller ihop med mig Har jag Jesper Larsson och Peter Paul Mary och Peter Magnusson rosten är din brandvägg ljuddagar på Ender Mary för att ni det här är ett otrolupplevt avsnitt det det strukturerade vi ju spelade in i något av de olika du har sen jag har gjort så vart det här är på väg det är låt det pass på den det är nummer 23 april tack Och vi är sponsradan shorts
2 00:00:39,700 –> 00:01:24,000
Förlåt Det kan man läsa om på en short.se gött eller 178 65 1475 Vi börjar med pluggs gick ut fest Ja det kommer Eh vad är det mat ökat eh skriva in ifall du inte har en biljett till lowets skjutfält punkt com eh så kanske du sätter dig där eller köp en biljett till de två trainingpaster Vi har två platser på den blåa sidan defendingen till prices tror jag det finns några få rackans biljetter kvar sen så har vi också GBG som har hittat på Peter
3 00:01:24,800 –> 00:01:27,100
tack punkt gbg.com
4 00:01:36,800 –> 00:01:58,500
Nej men absolut om du körde träffa Kolla in det Eh Pisa i Umeå 10 juni Du får du ska bli en hemvändare
5 00:01:59,500 –> 00:02:39,100
Jag har ingen koppling typ Nej det är nästan samma sak i norr om Gävle hemkört och ja och långt i granen sekreter då Ja Nej ändra det Eh och vi kanske kommer vara där Ja jag kommer vara där och sen tror ni inte men man vet aldrig Peter kommer vara där i biten väldigt fina dricker inte med oss idag Eh Men jag tänkte att det går så där Ja det undrar vi med
6 00:02:39,300 –> 00:03:39,200
Han har jättefullt dum Alltså senast Jag hörde någonting från Richard så skickar han reklam om att han har köpt sin egen bunke på Instagram Vi har ju verkligen skitit i det blå skåpet ja folk har gjort fel och någon har fel på internet och det var vi eh bland annat Jag vaknade upp av massa privat nån har nämnt mig i en slackgrupp klockan två på eftermiddag säkert eh man vaknade upp i sin lilla hejs där eh och blir jag blir anklagad om massa grejer eh Det var inte ens där från svaret själv och det var jävligt otydligt så jag började läsa om
7 00:03:39,200 –> 00:04:19,399.9999999999709
det säkerhetspodcasten minsam hade sagt massa saker om Mullvads Browser eh som inte som när jag läste summeringen av personen som jag inte kommerta eh också tänkte så här Det här var konstigt men jag läste också längre ner att jag jag blev jag blev en ledigad ansvar för att jag inte ens var med på episoden Eh Men vi vi sa saker som inte stämde eller snarare Vi hade inte förstått Ah bra Det är en bra pudlingen och det förstod inte hur bra det var och det gör vi fortfarande inte så för att Råda bot på det kommer vi ha ett temaavsnitt där vi
8 00:04:20,300 –> 00:04:46,800
får sätta in några de ansvariga för det här Yes och kör ett temausript och varför man ska ha en privacybaserad eh webbläsare exakt men en braser design här för att minnes mera wrecking och fingeravtryck Snyggt jobbat Peter om du hade sagt det för två veckor sen så hade vi inte suttit här men jag tycker det är otroligt
9 00:04:49,400 –> 00:05:01,500
eh för att någon börjar prata okej tomt det här på våra tema en gång så ni som också tyckte att vi hade dödsfel när ni kommer ni kommer få
10 00:05:02,200 –> 00:05:11,000
Ja men sen så är det ju andra personer som har fel av sig och det gick och
11 00:05:13,000 –> 00:06:12,400
vi sa saker som gick och tolkast på sätt vi inte hade avsikt för eh så vi brukar vi gjorde återkoppling vad är utförligt vad han skrev på på det avsnittet eh då Men i korta ordet drag så ville han i tona att det finns två typer av för mina skap den god man då har man en rådgivare som eh är med och hjälper den De fattar beslut liksom Men men det är inte någon inte behöver det är bara en Det är bara att de fått en rådgivare och om man har förvaltare Så får man inte själv gå ingå många typer av tal utan började förvaltningen som gör det Eh Men det är viktigt att man anses myndig oberoende alltså båda båda några god man eller hon har förvaltare oböören det är sansystem det är rösträtt och sen så att kontexten här Det var så att vi pratade om en attack va mot dem hade snott datorer
12 00:06:12,900 –> 00:07:06,700
det kommer en fråga Det kommer en fråga om vad vad överförvaltarmyndigheten var och jag Richard försökte svara och någonting där Jag tror inte att den hade så fel och det var goda intentions men det är tydligt att det eller så här Det är viktigt att det här blir rätt Problemet var framförallt att det var helt dubbelt tidigt vad vi sa det var jag Det var nog problembilden att eh det var upprätt för lyssnare än avgöra vad vi egentligen menade och så ska vi inte ihåg för att lyssna en ska aldrig få avgöra vad vi menar eh Nej men vi jag är lite osynliga ett avsnitt som alla hör och vi har spelat in ett avsnitt som var strukturerat Men jag tycker också att det är viktigt att poängtera att vi gärna tar åt oss tänker kritiken bara även om det kan verka så
13 00:07:07,100 –> 00:07:46,200
tråkigt om ordval vi har förmedlaren åsikt som vi själva inte ens har det så det är så här sen så vill du skylla lite på er lyssnare också Ja allihopa som ni alltid har eh När det kommer till att skriva in till oss med ljud att ge oss era anekdoter Ja har vi fått en enda en låt Det är inte fått en enda en exakt hur många gator
14 00:07:48,600 –> 00:08:30,800
Djurgården skicka in saker när vi gör fel Vänta nu är personligen av ansvar för skicka in Tina Nej och nu kan vara anonymer så länge Vi kan spela upp era röster och citera ord när ni ser på alla demokraterna alltså vi skulle kunna ai- förbringande det Eh glo vänta ut någonting där Men du än du är någon form av AIK nu inte Absolut lättaste bara skriva in i text också det för då är då kommer vi behöva spela upp där vi kommer behöva ta fram och vara konstnärliga sida
15 00:08:31,500 –> 00:09:06,000
Ja du menar Vi gör så här skådespelare som sa mer anekdoter eller ta in en ektoter från lyssnarna och det är ju bad Vi är och skicka in men som sagt Va Ja och du lyssnar vi vet att du heter Fredrik och vi vet att du lyssnar på oss och du är personlig NBA
16 00:09:10,300 –> 00:09:47,300
andra också eller Peter Polly Mary Ja Peter Paul om ni undrar Det är han som ligger bakom Bounty baren men det var inte en Mondo var var det nu bouncy baren upptäcktes i West connectic cat 1920 Nej det är ingenting ja avsnitt och ni är ni som lyssnare har kommit till säkerhets podcasten Det är helt säkert men ja nej men då är vi klara det där
17 00:09:49,400 –> 00:10:32,100
ska vi prata lite om något som vi redan har nämnt i ett avsnitt så kommer de i veckan två veckor förlåt Vilken grej 284 avsnitt här Vi kan gå igenom alla här inne ska vi prata om den kort kan vi prata om den
18 00:10:35,200 –> 00:10:53,200
hörde ni det Jag hörde nu Vad är det en databasen är det listan Har ni sett filmen vad heter den
19 00:10:54,700 –> 00:10:55,700
då
20 00:10:58,700 –> 00:11:41,000
Ja samtidigt Det är det vi håller på med nu exakt mannen Yes the dog finansieringen är nu kanske det är röst men 11 månader i alla fall Eh Men internet är ju lite frågar mest till om CV som vi har stått på bild på i väldigt många års tid Om det nu är jag så att det behövs förändras någonting kring hur det skönt
21 00:11:42,700 –> 00:11:50,200
Ja det kommer mer om en vecka 13 minuter
22 00:12:02,600 –> 00:12:03,500
utan palmolja
23 00:12:07,200 –> 00:12:59,000
förlåt Okej sen så svarade på frågor om att vara en grej 2020 lämna sin SEO på oss på sent med One Ja för han har nu börjat bli förföljd i den här informationen då alltså
24 00:13:00,700 –> 00:13:03,400
mer än fyra år senare så helt plötsligt
25 00:13:04,500 –> 00:14:04,300
det är ju det som är hela grejen Men du menar att hans namn nämns en exakt Ja den där att allting han gör ska utreda så han ska och departement av Justice det vill säga deras justitieminister ska personligen gå efter den här snubben är alltså den den är skrivet det är bananrepublik så det Det här är 100 % personligt det är liksom ingen sansad människa har varit med och skrivit om vart Trump ville ha utan det är ditt ansigt just nu var det för att det är precis det ansiktet jag också har haft när jag läste om detta Det är väl så här haka föll ner ungef
26 00:14:04,500 –> 00:14:21,200
är 4 cm och munnen öppnades ögonen spännandes upp och vill så här vad är det här Nej Nej men det det ser ut som att det är barn har skrivit det men alltså men men djupt oseriösa i det här landet
27 00:14:22,400 –> 00:15:05,700
säsong 2 mer om detta om två veckor Det är ju helt absolut att killen har skrivit en exakt i vårder för för att bli av med sin kille har glömt det här känns som alla vet jag inte men tydligen glömt det maktmissbrukat podcasten Du hörde det Eh fråga bara ta ett snabbt sidospår här Jag vill bara höra era tankar om detta för jag har funderat lite eh defqonies cancelled eh är det jag försöker komma fram till en du vill säga
28 00:15:06,700 –> 00:15:30,600
hur många européer tror ni kommer känna dig bekvämne sig bekväm att flyga till Defqon Black Cat i år är ett stort fall och det är ju bland normist så att säga bland Defqon aktiva människor tänker att vad det måste vara mycket större liksom För vi har ju inte med utvis Ja vi kanske inte alltid uttrycker oss i linje med den stora ledaren svenskar
29 00:15:33,700 –> 00:15:38,700
det känns ju väldigt nu om du om man har alltså
30 00:15:39,900 –> 00:16:39,800
om du har extremt Paranoid där gränsvakter som reagerar precis vad som helst så Och kan skicka då borde ju liksom trigga Alla sådana här kastar ner i sämre Team Foil hat menar han Ja men alltså i det här fallet är väl den där teamfire hatten jävligt berättigad faktiskt Ja nej men alltså om du om om du har en konstig inställning till säkerhet att du inte vill visa det när mobiltelefoner du överhuvudtaget trigga någon signal om att du är lite avvikande Super turism eller Ska du jobba Du säger nej Jag skapar en konferens det skulle ju kunna vara tillräckligt nog för att Ice sätter dig en isoleringscel var det man skulle säga icke nödvändiga resor av Rhodos från typ ja det
31 00:16:39,800 –> 00:17:38,000
faktiskt det som var ett eget utrikesdepartement har sagt för det Jag har inte kollat De har dessutom gått ut och sagt från EU att journalister som flyger till USA ska jobba göra det med burner phones alltså jobba enligt samma sätt skit som de har ifall de flugit emellan nästa för någon vecka Sen så är det några veckor sen då var ju fortfarande den svenska skrivningen väldigt tam pils de de har ju mest att du skulle vara väldigt noggrann att det inte finns några felaktigheter i dina administrativa grejer liksom Det var enda som stod och men om man har man har man själv på de skriver såna nu eller hur är det generellt men jag vet att eh just Eh vad gäller journalister och så vidare så hade de fått de raden med politiker på en nivå också som är fast liknande tror jag och vipade eh tidigare så var ju andra länder mycket tydligare med att det är riskabelt att resa till USA
32 00:17:39,800 –> 00:18:24,200
Men ska vi inte prata om internet baksida fortune Oh där alla minus börjar eller reddition kanske varit inne på Forsen mer än någon gång väldigt kortfattat Flashback fast ännu mer anonymt och kortfattat
33 00:18:32,500 –> 00:18:44,100
och det har också kommit ut en uppgift om hur de hackade Vi kan börja säga det var ett visst meme som tydligen
34 00:18:45,100 –> 00:19:44,900
de har satt system men de postade det Mehmet i alla diskussioner allting och får känns moderatorer förklarar ju då krig mot det här livet då började bana Alla sådana här min postningar det blir med att Vad hette det Är det någon som har kollat på det men det du gör ett ansikte Du pekar och det är lite svartvit målat så där Det låter som alla Memes ever men var det inte så att Eh forkänn köptes 2016 men men jag hörde uppgifter om man är skett Det var väl någon mot eller någonting som hade det ursprungligen och jätte av det till någon annan och därefter besämner man sig för att det här med att uppdatera typ php-versionen det bygger på engelska så har ju folk skämtar de att eftersom att Trump slutade finansiera Us Aid
35 00:19:45,100 –> 00:19:50,800
sa ju då liksom Ser ju pengarna som finansierar ju slutat rulla in
36 00:19:53,700 –> 00:19:55,200
så hörde jag bara tvättat
37 00:19:55,400 –> 00:20:43,700
men jag med tveksam men det det finns en postning som gör gällande Eh hur hacket ska gå till nu nu Det verkar som att många tror på att det är sant så att Men det är inte så att vi är själva har kollat Eh Men vi ska alltså ha varit så att Eh i vissa boards så fick du ladda upp pdf-filer och de exekverares då av eh ghost-skrift för och det kan man kanske Ghost shrift Tack som som då skapade någon Jag vet inte Han är en konvertering eller Den gjorde en screenshot av 11 Ja som sagt script i de filerna som gör att du kan läsa ut typ environment variabler och så där
38 00:20:46,800 –> 00:21:05,000
det är ju på på CV el-listan på på Ghostscript det är ju ganska många executions som man släpps efter 2012 till det här så iblandat på Google Drive men men det är som jag inte bland alla grejer som är lite konstigt då för att
39 00:21:06,000 –> 00:21:51,200
år sedan känns ju som att det är en högriskställe så att låta upp sig lite småfarligt som så men men om man skulle köra någonting skulle man kanske ville ha någonting som är lite Sande Boxer på något sätt alltså en container eller hur man skulle göra det men men alltså en en ganska påtagliga se vector in i där där det finns massvis med jobbigahackers runt bordet liksom Men är det inte Dessutom så som som jag var inne på där från att som jag förstod det av vad jag har läst på Blue Sky när folk som har har någon form av koll har pratat om detta så har de sagt att
40 00:21:51,900 –> 00:21:56,200
ingenting Hade patchat eller uppdaterat sen i stort sett 2016
41 00:21:57,200 –> 00:22:13,900
jag menar Ghost Youtuber från 2012 så är det ju ännu längre tillbaks problem med börjat med jag menar då hade du kunnat åka dit på typ image regic eller motsvarande det det
42 00:22:15,200 –> 00:23:01,200
Det är väldigt ja precis Exakt eh jobbigt att bli en docksad admin förresten nu är de ondskefulla angriparna när de tog sig in vad gjorde de för bus då de har ju den laddat ner all källkod till 4Sound eh de har gjort ett antal datumpa de har ju bland annat publicerat alla moderatorer då så Och det finns ju lite punkt i gav var lite punkt Det är det ur adresser på några moderatorerna Vilket då va ett whitehouse.com
43 00:23:02,100 –> 00:23:22,000
nu visar Jesper här en lista på dessert Ja det är rätt pins att Med tanke på riktigt som den sajten har Ja men alltså återigen Det här är ett djupt oseriöst land eh
44 00:23:26,000 –> 00:23:46,400
skulle köra och så låg säkerheten Flashback typ om man vill säga någonting
45 00:23:59,200 –> 00:24:06,000
men det kommer inte så stor effekt så jag tror att han fortfarande är deras starka människor
46 00:24:09,600 –> 00:24:10,700
Det var en annan historia
47 00:24:19,600 –> 00:24:52,300
vad som helst kan hända en karta igen Så vad som utnyttjas då jätte Ja det finns ju en till som vi borde ta upp här det är Google fishen men det kan vi ta sedan Mycket på capsar Ja och då är frågan om en ett osint troll kan kontrollera din capcha men om jag fattar det rätt så är det här en snubbe som bara
48 00:24:54,100 –> 00:24:58,700
surfa runt på internet eller så helt plötsligt råkar ut för mig Kanske där
49 00:24:59,800 –> 00:25:33,500
där helt plötsligt den säger att för att köra den här färdtjänst så ska du trycka till Windows är exakt hur ska jag trycka kontroll v7a i nästa typ sällt excess men istället för att det är du alltså det det och det får du ju köra från Java skrivit det det var ju väldigt begränsat någon gång för länge sen vilka som fick fylla på
50 00:25:35,500 –> 00:25:43,700
Förlåt men ja Men ni måste ja men okej så att
51 00:25:44,500 –> 00:26:31,400
problem exist between the person and keyboard för farmor och fattat med det här man ska man inte göra men för de som är i alla fall lite säkert medvetna så är det ju rätt mycket röda flaggor ändå när det kommer upp en den kommer upp eh att den kommer upp liksom så börjar jag har ingen aning om min fru eh alla mina publikasser i Blocket Hon är svin nöjd förra veckan typ om att jag tror det var malmöregion tid Malmö hade gjort en stor fishing häst kampanj så du nu Ja man bara så här ja
52 00:26:32,400 –> 00:26:33,100
alltså Ska vi
53 00:26:34,400 –> 00:27:30,900
ska vi lära våra människor att inte trycka på länkar i mail då har vi andra problem ganska man gör ett par om året som är verkligen spear fishing grej Jag bygger på spoke paylovs för för det här det är liksom en del i en red team grej som vi har försök under och det är 10 % som gäller fortfarande det är liksom det är så är det bara det behöver bara en och då spelar det tyvärr ingen roll hur coolt det Eh grej här men jag menar så här Okej låt säga Vad ska vi då göra om vi vad ska vi som Industri göra för att omöjliggöra det här Jo vad ska vi ta bort möjligheten och shortcutta att du kör ett kommando och då kommer de då kommer de så här Ja men vänta Om Du klickar mig din mus på den knappen och gör detta så kommer vi visa dig dansande björnar vi får göra Lockdown på hela tiden
54 00:27:34,300 –> 00:28:18,400
om att vi måste kunna in i validera in sessioner säkerhet kan inte ligga klarinettside Jag hörde på du säger Mattias ifall det är så här att det om du kan lura någon att göra precis vad du vill på sin dator ja men då folk får inte vara admin på sina datorer Nej Och det är väl det som är grejen då det är ju därför vi har Sudo Alltså så här men då det är någon skriva sidor då Men jag menar det ska inte ens gå och bli admin i så fall lever möjligheten baserad säkerhetstänkt Jag tänker att vi måste sen skit kommer gå fel och Oavsett om du har med säkert eller inte Vi måste ha ett sätt att kunna invandring Ja det är det utbilda och sen så här om hela vårt bolagsintegritet hänger på att man inte klickar på en länk Då har vi nog kanske
55 00:28:20,200 –> 00:29:05,900
en annan fråga är ju ska alla sajter på internet få lov att populära din klippbord buffert på de får ju lägga mig för kod i klippodbuffet den och så genom dig en relativt enkleinstruktion för att du ska pasta in den typisk område framförallt läsa den För där kan man säga varför finns det en funktioner Jo det är för att till exempel du är inne på en site och så är det ska du kopiera någonting som är superlångt så vill du kunna trycka på knappen kopiera knappen eh så har du en automatiskt i din profet så det är ju en smidighetsfunktion så då får du alltid liknande att du vill ta bort den funktionen och då blir det svårare hantering eller hur tar bort den men du skulle kunna ha
56 00:29:06,800 –> 00:29:08,500
okej om du ser på
57 00:29:10,100 –> 00:29:21,700
det närmsta exemplet jag kommer på när jag gick på ett teams möte i min Browser igår då behöver jag trycka på en Browser pappa upp som låter min Browser hantera min kamera och min mikrofon
58 00:29:22,600 –> 00:29:43,300
Du hade kunnat göra samma sak för clipboardar det måste vara ett OS ut För det det är ju en intressant fråga skall skall alla sajter på internet för det var pillar på att klippa för jag har för mig här och varit ganska begränsat förr i tiden men då då har jag en teori Jag tror ju så här
59 00:29:44,400 –> 00:30:36,800
alltså jag tror så här Vi får ta bort Vi får ta bort jävligt mycket funktionalitet för att vi ska göra det är mycket säkrare som som en intressant fråga är ju om man har skrivit att du måste markera den här texten kopiera den liksom när Vad krävs för att man skulle på det liksom kommer ju alltid åka på det liksom sen har jag med om att det ska ju vara Det ska vara lätt att göra rätt och jag tror inte du kan skydda mot alla alltså så är det det är ju därför Nigeria bredvid formulerade som de är för att de vill komma åt dem som är mest eh godtrogna eh så att det så Nej jag tror inte vi kan ha så målbild att skydda den mot 100%
60 00:30:49,000 –> 00:30:56,100
Så om jag trycker kontrollärare eller vad vi eller windowser eller vad fan det nu är liksom eh
61 00:30:57,400 –> 00:31:21,000
Vad händer ingenting på min dator om att jag vill göra Run eller någonting men den är ju långt ner i vänstra hörnet och inte där jag tittade blicken så att jag kan rika världens problem att den en icke superteckningsmänniskor åka ut för det här med det är inte solen
62 00:31:24,600 –> 00:31:42,900
till de som kom på det här det är ju Alltså jag tycker i viss mån sa Jag respekt för dem som kommer fram på såna här listiga vägar runt våra säkerhetsmekanismer och kök det är ju bara att någon är lite rolig och kommer på en fetare variant av det
63 00:31:44,100 –> 00:31:45,000
Eh
64 00:31:46,700 –> 00:31:57,300
novell Har det hänt någonting på ssh fronten med OTP att göra
65 00:31:58,400 –> 00:31:59,600
Vad betyder OTP för dig
66 00:32:00,500 –> 00:32:02,000
Oj vad varmt
67 00:32:06,500 –> 00:32:55,600
hoverboard 60-talet over the Pond idag Eh buggen i detalj men det har en personlig relation till den för jag fick faktiskt ett Ping på på slack eh där det var en eh en kille där Jag jobbar som hade sprungit på den här nyheten och frågade Är det här ett problem och så tittar jag på den lite snabbt så här är Lang SSO Demon otp Nej Jesus tänkte jag ändå jag får ändå kolla igenom kodbasen
68 00:32:56,400 –> 00:33:29,200
om mycket riktigt Airline dock inte Allen OTP så den här grejen det är väl rabbit MQ Är det många som ställer på att de är erlang Airlines så tänker jag typ Ja men det här övergaver väl ungefär samtidigt med Pearl Det är fortfarande språk Eh Men det är ju inte superstor användning det är nu för tiden men han är bäst betalt konsulter i erlang kobolt heter det här är fortran också Du har inte lätt att komma till dagens
69 00:33:30,000 –> 00:34:00,300
är det är det langa ju ett av språken som har en version om att det ska vara väldigt cashfritt och om det kraschade slutar funka så skrev automatisk kunna spyma upp en ny instans av sig själv så att därför har det ju varit eh telekommeindustrin var ju jättehäta på det en gång tidigare som gjorde mycket airlinutveckling de är väl en av skaparna tror jag hade varit var väldigt kanske Eriksson Lang det kan det fan va pythony var det de sagt men
70 00:34:02,500 –> 00:34:52,300.00000000023283
Ericsson radical language som där de som hade hittat en så här man Hull på detaljerna så att eh för att det här var ju känsligt men Men då finns ju ett testcase med med early här och se är heter det testkriset så kommer jag att fixa nu Eh och eh ger ju en liten ledtråd eh och early sammanhang betyder alltså att om du börjar skicka kommandon som ska exekveras innan du gör avtentiseringen så går det jättebra för att hela det här ljuset avsteget var helt optionell smidigt så du kunde bara du kunde bästa sätt du kunde hanskaka och fick du klart för dig när ärlangs SSO funktion användes alltså Var finns den någonstans i världen
71 00:34:53,800.0000000002328 –> 00:35:29,600
Nej det här är ju ett liv så att du du du det är ju någon som vill ha SS h i en kolbasen och då återigen till fråga varför finns det någonstans i någon produkt eller någon distribution eller någonting eller är det en typ är det Bengt att göra som bygger en grej som kammare Ja alltså eftersom att det här är ett språk som är populärt i någon telecomindustrin så vore ju jättecoolt dåligt alla telecomleverantörerna och se om de använder det Men men det börjar ju bara de som gör grejer man alltså
72 00:35:31,700 –> 00:35:40,600
det det är ju inte det är ju inte en vanligaste så att det är mån så att de flesta de flesta bara lyssnarna är ju förmodligen inte berörda eftersom att de inte kör mjukvaran
73 00:35:43,100 –> 00:35:50,500
berörd så är det ju en ganska dålig Jag sa variant och särskilt om man kör OTP då i sin stenåldersgård
74 00:35:51,300 –> 00:36:25,400
Ja men om jag typ snappade rätt med med jätteräs version för att jag är utbadet liksom typ Java mjukvaror du har för att sätta ihop det där längre applikationer alltså typ som en fet liksom att du har javas språket och så har du Java extensionklassen eller något sånt där
75 00:36:32,600 –> 00:37:15,100
Men är det inte så att hp:s insektlöste är helt säkert också eh och det var ju att eh var det inte det här en snubbe sa att han kunde bygga en att AI byggde en eh attack Ja ehm explode is a hackers stream läsa igenom rätt DIF förklar Vad gör du Eh förklara vad sårbetetten var och ge dem ge dig både alltså ge den exploit kod Det funkar typ hyfsat men jag gör Britain explodies a hackers dream of the tio
76 00:37:18,200 –> 00:38:17,600
Vad är när jag väl fattade att själva matchen från utvecklarna även innehållet koden Så jag mindre imponerad i diffen så sa han kind of sa han också för att eh Hans EA of choice så var det nu var lyckades inte vid första försöket utan fick hjälpa den lite på traven så att han sa Ja kanske inte var riktigt så att han gjorde det ehm så det var lite Det kanske är lite mer en poppig artikel än än en Sanning antenna jag kan göra är tragiska är tycker jag Eller Sorry Du kör först Peter Men fortsätt här att jag hör ju den här vanligare vanligare alltså i född ifrån tillverkare av så här monitoreringssystem och sånt Det de säger ju mer eller mindre det att ja AI eh kommer nu eller kan idag skriva attacker snabbare än människor kan försvara det ni måste köpa våra produkter
77 00:38:18,100 –> 00:39:17,900
och För mig är det liksom det har inte vi sett än vi har sett att AIK kan hjälpa till Men vi har på inte sätta den stora ai-invasionen av eh av Zero eller Zero point One day attackar eller vad fan vi ska kalla det sättet burps ut har jag inte inkluderat AI i sin senaste uppdatering Ja fortfarande aldrig provat det den blir ju det som är coolt är att alla de Foss positivt som du tittar eh definiera den gourneren om och kan validera och komma fram till att det är folk positivt Eh det är egentligen en sluten cirkel HM men det är också nån i burp nu då eller i proversionen har Bert så kan man säga det känns ju lite Det här är ett synspår men lite Risky ändå Jag vet att jag var inne på läste på deras använda villkor där eller vad man kallar det multi där de säger att här men det här det här lämnar aldrig
78 00:39:18,100 –> 00:39:55,000
vårat säkra men det är det nya svarta nu Det vill säga ha en ett mellanlager som kan avmaska din dator då Någonting värt att hämta i Birds AIK Men ofta så är det ju så att det inte är helt substanslös jag menar eller en Hjälp oss inget säkert saken Men men det är ju när man modell kontext protokoll från sanning och att det aldrig kan vara felaktigt Det är då Vi hamnar på tokigt ställe liksom
79 00:39:57,600 –> 00:40:57,600
men vi har vi har väl några Det var väl min nyårsbanning för ett bra tag sen att vi skulle få exploit skapa det var i och så eh och det kommer vi få det kommer behöva dåligt typ Dread dreadnode igen utav dem som försöker göra det här med benära exploatering eh ganska bra men det bygger ju också på att du matar den med väldigt mycket förutsättningar för att den ska kunna göra sitt jobb men den gör det väldigt bra fascin motor tillsammans med aiot eh det vill säga en Google har byggt eller de vet jag har pratat projekt det är två fysiker från början eh otroligt smarta Ja men det var jag var på en dragning som de hade förra året i Washington Det var jätte coolt och de gjorde visade massa demo när jag var jättehoppfull och så gav dem en länk till ett G3 på
80 00:40:57,600 –> 00:41:17,100
inte fanns något eh så men det var coolt det det de visade var coolt De delar egentligen live hur de byggde en exploit till en och inte 32 alltså Windows till en gammal Java
81 00:41:38,700 –> 00:41:49,700
verktyg för när man engagera kluster av HP datorer alltså inte typ inte som alltså mer lågnivå liksom du vill
82 00:41:52,300 –> 00:42:52,200
Den här tjänsten exponerar ett underbart Android som jag inte var jättefin av även på den tiden när jag koden jag var där ungefär så om du då få tag på eremi modellen och så så finns det alltså en funktion som heter execute BMW Line som tar en strängförsäljare exakt eller någonting kopplat till det här utan execute commonline jag tar som argument kommandot Jag har sexuella nåt här
83 00:42:52,300 –> 00:42:53,400
ja
84 00:43:03,400 –> 00:43:35,600
Stable liksom påskgrejer va Men ah fan den har man exploitat mycket X fan gammal man börjar bli nu men den är jävla dödsmyckig Ja Sorry men det är inte riktigt med aremi var ju liksom just att det här är ju ett RPC anrop alltså remote precis Du hade ju kunnat Det här är kunnat vara en get eller en post men men du har det i en enimodellen som färre människor fattar och färre utvecklare för remote Management instrumentation
85 00:43:36,600 –> 00:43:39,500
kanske
86 00:43:47,200 –> 00:44:00,700
det är lite konstiga portar och lite konstig syntax och få människor fattade speciellt väl men men ja så därför så brukar jag bli lite orolig om jag ser upp när de är i portar för att
87 00:44:02,500 –> 00:44:04,800
jag brukar sällan lite på att
88 00:44:05,800 –> 00:44:19,400
Rami grejer det så välgjorda det Det brukar vara Eh va De flesta lita ju på att det är med i portar lyssnar inte på honom sitta på grejer
89 00:44:24,800 –> 00:45:12,800
Jag vet inte vad som pågår men panelen Shadows i Discovery Authenticator 23 by weaponis in the Java client application 2024 och den blir publicerade 2025 för det är de sista framåt och produkten anses ju tydligen nerlagd men men finns ju fortfarande ute på Södra och så där så att det kan vi inte och det är alltid så men jag va
90 00:45:13,900 –> 00:46:13,300
förmodligen brandväggas bort liksom gäller de flesta exploit hade det här för att nu tänker jag ny säker att den här killen är en teknisk gud som vet att man får rmi och funka och att han skriver ett verktyg för exploit där det här modellen och så tog han bort bland annat Side av checken och sen körde han verktyget för Då släpper man förstå hur det blir funkar det med hp:s egna
91 00:46:13,900 –> 00:46:35,500
egna verktyg efter att han har tagit bort min Tjeckien och betala om verktyg så cursor we can have Nice Things varje dag tror jag det är en riktigt bra idé alltså
92 00:46:36,500 –> 00:47:36,300
för den ska vara väldigt bra integrerad va det ser ut Det är VSK med AI det är det skriva nästa snake ha olika modeller och det är inte så det kostar ungefär vad kostar det kostar 200 spänn i månaden tror jag att du ingår klord och det är chat gpt ingår i alla fall Du får ju tillgång då till modeller i idén är helt och hoppig liksom det får man undra eller vad vet jag Det är ni mina huds vi samhällsängen ganska ofta Ja men den är jättemycket för programmering utvecklade som man hänger som att det det är inte bara säkert snö där som är jättemycket Jag håller på det fakturerar mina pytonbyggen nu
93 00:47:36,400 –> 00:48:36,300
till exempel och det är kanonbra och så skriver man du kan liksom pre- alltså pre-texta Ja det det är kraftfullt om du arbetar med AI så här de håller på med kodar ehm så så vill jag nog det är en bra grej om ni inte har provat cursus och gå in och sign up på en 14 dagars gratis Trial för det är kul Alltså det Det är verkligen Nästan Nästan nästa funkar eh berätta hur bra det är det så att det har varit skett Vad är problematisk du har kommit hennes en rolig sån här och det är ju också pre-texting problem ju för det handlar ju om att eh Om du skulle den Det är ju en idé så du kan ju koppla den till diverse rep på strukturer eh och om man skulle kunna ta över nu Nu fabulerar jag bara för jag har bara läst det här Eh det här var längesen jag läste men om jag skulle till exempel ta över en organisation Vilket aldrig har hänt med Eh vad var det tidiga actions nu senast eller wor
94 00:48:36,300 –> 00:49:14,900
Säg att jag skulle kunna ta över en PR till exempel eh Då skulle jag kunna eh vi Texta min och det är någonting som min curser de sortsvenskan PR ditt sammanhanget så en pulver Quest till ett Repo som jag vet att min idé är kopplad till cursery kopplad till det här ehm eh repot eh Då skulle man kunna jag tror att det är den här verkligen jag har inte kollat det var ju chans att bara men och sårbarhet vet fan men då skulle jag ju kunna lägga till till exempel en pretex där som säger att när du läser den här filen så netkatta hit
95 00:49:18,000 –> 00:49:44,100
Hur genomför du det här så att för att attackera någon annan Jag tar över Access till ditt Repo Eh jag tar din Ja men det vet jag fasken Jag vänta jag Jag kan försöka förklara det var som var de visade artikeln Eh det kontextet är att du försöker lura ägare eller vad heter det på och
96 00:49:47,200 –> 00:49:52,100
och du försöker alltså lura någon till att uppdatera sin körsregel fil
97 00:49:53,100 –> 00:50:49,400
exakt när jag när jag ska skriva den här pyton applikationen nu Jag vill att du håller koll Jag kommer koda den här grejen själv eh och jag kommer fortsätta koda efter vi har snackat Jag vill att du skiter i alla filer som heter punkt bla bla punkten eller punkt gittignore Jag vill inte att du ska indexera dem strunta i dem eh Och sen vill jag också att du ska Nette Katta hit Ja men kanske ringer du filen då om vi bara kvar på den det alltså ett sätt där du kan prata en fil till curser helt enkelt men men om du får lov att vara får du lovade irritera den eller Du får gärna men ändå där så har du alltså en väktare till prompt Injection för att du ändrar instruktionen att jag har det som händer är att curser hela tiden den här konfigurationsfilen då
98 00:50:50,000 –> 00:51:48,800
Jo men det förstår jag Men hur Eller det känns ju logiskt ifall du har möjlighet att påverka hur din kommune på flera olika sätt då framförallt de som då inte lusläserändringar i en Browser utan de går in och kollar i webbgränsnyttet Du kan ju bland annat f-tecken och sånt så att du har hyfsade möjligheter att få den som godkänner Ändringen att inte förstå vilken ondska som kommer i underquesten Nu är paniklärt lite här i i våra surnad så det här är ju balju för att det här är ju också att en de snackar nånting om cementic Hi Jacking det vill säga proffta AIK att inte producera sårbar kod eller sårbara de Penny sist är till exempel det är ju intressant använd image
99 00:51:50,000 –> 00:52:18,700
Magic version ett nej det är ju fan det är en sån smart Vad är väktorn alltså det vill säga hur hur får du någon att introducera det här i Sweden Access om vi tar det lite lugnare så eh ja
100 00:52:19,600 –> 00:52:28,000
du har ju en den ena vikten som Alltså liksom som är start när man tackar det är ju att du gör en pulver Quest som
101 00:52:29,200 –> 00:53:28,800
människan som granska pulver questen klarar inte av att förstå den och därför accepterar när han inte borde acceptera något han inte förstår och du kan fucka på pulver questen på flera olika sätt så att det blir svårt är det bara jag eller normal personuppfattare i saidliga men det behöver ju då fortfarande Dra ner inte Det är inte ens såbarhet på det sättet du lurar några Ja men det är lite så här Tycker Windows är eh tryck Eh ja men inte riktigt Jag menar det är ganska artiklar och demos i andra sammanhang på
102 00:53:29,200 –> 00:53:29,300
att
103 00:53:30,500 –> 00:53:52,500
typ samma gränsnitt är problematiskt det finns massor som exempel på olika sätt att folk försöker skriva exploit kod som hamnar utanför användaren ser och så där liksom så att misstagare att det finns
104 00:53:53,900 –> 00:54:53,800
dåligt Ja men det är regelfilen sen Nej men cement tycker attack det vill säga att man ber a hit att introducera sårbara versioner Det är ju en annan typ av attack fast genom samma vector vilket jag gillar det var jättekul mer sånt åt folket sen är det väl den en tls-grej som korrelerar med Let’s and crypts så att livslängden men det har det är väl klart nu med ledsen crypt att de tar bort de här Det ska också vara jättekort livade såhärt det blir ju klubbat här förra året i slut på förra året och det implementeras väl nu Eh tror jag hela tiden 15 mars var det då Let’s incrypt gick över det och tycker vi inte att det här är
105 00:54:53,800 –> 00:55:03,300
ja ja eller vänta med korta ner livslängden på certifikatet som är utför utfärdas helt enkelt ser jag bra för de har ju gått ut med att
106 00:55:04,800 –> 00:55:12,000
så bra ännu bättre
107 00:55:13,700 –> 00:55:29,400
men de har De har jätte en bra där reglerna kommer bli hårdare och hårdare och kommenterar 2027 eller 2029 men ett antal år om några år i framtiden så kommer det vara 47 år
108 00:55:32,300 –> 00:55:46,200
och sen så 47 dagar som en sektion får vi inte liksom 47 dagar 46
109 00:55:47,500 –> 00:56:28,300
Jag gillar idén med alltså typ att göra för det betyder att de måste hantera ännu mer certifikat men det som är bra med dig Det är att alla skit på internet Jag menar det här gröna nyckellåset som vi alla lärde oss och lita på det betyder jack shit idag när man kan begära ett sätt på en millisekund Ja men då är det bra att vi kan invadera sådana saker ganska snabbt som vi inte har som lång livslängd i en bra sak Jag lyssnade på på
110 00:56:29,700 –> 00:56:48,100
säkerhetsburger business när de pratade om det här och och väsentligen har ju världen Kapten eh kapitulerat för det faktum att vi kommer aldrig någonsin få revocation av dåliga sätt att funka aldrig det Det går inte nej och sen Nej men
111 00:56:49,000 –> 00:57:48,700
Ja men det är det jag menar Och sen är jag också så här sen gav vi folk eh Tools lite Count andel som stjärna punkt och San och ja det finns svårt att beslut så så därför så är ju kortare och kortare livslängd eh och som vi hanterar att eh här är bra krossning av TLS säkerhet den inte ska vara persistent att funka i flera år utan att eh vi gör när jag är kortare kortare livslängd och ha mera mer Eh nyckelrullningen det det är så som internet har valt att vi faktiskt hanterar När hela istället Så ser den oczp Och allt annat Det är fint men världen har lite grann gett upp HD för publik internet och det det köper man ju alla dagar i veckan så vi det sparar ju otroligt tid också för en utveckling Alltså utvecklingsperspektiv om du använder jättemånga olika
112 00:57:48,900 –> 00:58:40,400
så är det sjukt mycket enklare och eh slänger upp kronjobb eller vad man nu gör eller ser jag som kan utfärda alla de som fortfarande mindre manuellt hanterar certifikat utnyttjande de när när de var krymtit ner till 47 dagar då kan jag säga hur avdelningen kommer inte göra något annat byte av särtom och nog inte får en båt till ett annat nu Jag är inte involverar den typen utav operations längre jag är ju det är ju bara in en autouppdrag Jag håller på med Men är det så att man går till vad diggi-sätt att köpa ett ett sam eller ett stjärn punkt Min Core prett om man gör det alltså För det tänkte jag Det måste ju det måste ju försvinna liksom med med Let’s go
113 00:58:42,300 –> 00:59:08,800
vi nämnde ju tlf subscriber set här och jag Jag tänkte Vad e till de subscriber setting Ja Vilket är dumt i Browser få Browser för rums lista och ett subscriber sat Det är då antingen the main välitation eller och sa de tre andra grejer bland annat exempel Men men det är ju också en grej att världen har ju mer eller mindre vicenter för att det är domainvalidation så gäller det idag så att
114 00:59:09,700 –> 00:59:27,100
Alltså för alla kommer gå mot att det är satt bort när vi åkte genom en partnerfirma en C
115 00:59:29,000 –> 00:59:34,600
nej men curl hur vi kolla se med relativt 26
116 00:59:36,600 –> 00:59:44,300
Jag hade lite Seger vet just nu så att jag kommer jag kommer inte
117 00:59:45,600 –> 01:00:19,500
jag kommer till rätta Men det de Eh Men men där finns det ju om dels vad de mäter på för de vill få ner vissa typer av andra upp och få upp dem Ja så att de de inte de de curl grafar Hur mer de rör sig mot vad de tycker är en Ideal version eh de kör massa wahlgren-tester de har en eh en hård ses standard och så där
118 01:00:22,200 –> 01:00:23,100
men men
119 01:00:24,300 –> 01:01:13,900
har sagt att de gör så så bra de bara kan för att säkra säker att de levererar bra kod och de har relativt få säkerhetshåll för att vara en sån stor produkt var det till och med en Youtube film där han där de beskriver det här arbetet eller jag nog inte om jag vet inte om eh om Karl och Daniel det har jag inte sett varandra men jag tror att de la ut en bloggpost på Daniel punkt hax.se eh och sen så länkar vi till en Youtube video i våra Show notes det lägger sig som är svår det är så jäkla mäktigt Vem kan säga att man har kod i rymden
120 01:01:14,800 –> 01:01:58,600
Ja det var ju några som frågade mig om man kunde köra mitt nätverkskort i rymt sammanhang och jag svarat eller eller jag tror att det är där Vi behöver sätta Spiken podcast
121 01:01:59,900 –> 01:02:34,000
tyckte jag var skit och jag skulle egentligen vilja höra fler Vad sägs om att vi tillsammans kaosar in lite anekdotter för Jag gissar att det finns fler som har ha det på lager så om ni skickar in ljudfiler med era historia korta långa Jag har ingen aning och sen kan gänget klippa ihop det här och släppa det kanske under sommaren så vi får möjligt avgjuta dem tillsammans med en grillön det här var lite önskan från Ivan wankel