äger du en Windows-dator, David? Ja det är faktiskt en rolig historia Ja det gör jag Jag var med i något som heter Locked Shields En sån här NATO-övning Tillsammans med Försvarsmakten Där man hackar och försvarar Till den här övningen så köpte jag Windows-dator Och den datorn skulle jag använda I veckan Jag skulle använda i veckan Och så kom det ut någon ny uppdatering så uppdaterade jag och sen när jag startade om så kraschade hela datorn. Så jag bara kräks på Windows. Det skulle ju aldrig hända om det var Linux eller Mac. Ja det var ju veckan. Vad sjukt! För när jag skulle starta upp min dator idag Så fick jag en sån blue screen och jag var tvungen det var någon BitLocker-blockering och någonting, och då hittade jag inte någon jäkla ja! Det var ju det, bara Bitlocker bara jag kan inte nå jävla kål till Bitlocker ingen aning, bara slänger det sig ihop på skitdator. hade ändå jag hade ändå koden till BitLocker så jag knappade in den tre gånger funkar inte, startade om kom inte ens upp en fråga om BitLocker då bara startade den upp Men alltså, på riktigt har, vet du, Windows det brickat en del nya datorer eller något sånt där? Alltså jag kan hämta datorn och visa det det är Absolut, kör! Du kör intro medan du letar. Exakt den! Exakt den! sjukt skärmen! Fick jag upp. upp den en gång Är det samma felkod eller Nej men det här är att du recover. Och sen så när nära närare kod Men ja det är men när jag slog in mitt kod För jag har den koden Kom här nu gav jag. Den Lenovo. va? Kom här. Jag ser ju att det där är ju en ganska så dyr dator. Det där är ju en Aura Edition. alltså. Vad sjukt. Det här gör sig bra för er som lyssnar. Men alltså, herregud, kolla videon Det är helt sjukt. Nej men exakt det fick jag upp. Fast jag hade ju sparat ner min BitLocker-kod då. I mitt Bitwarden-valv så jag kunde ju knappa in det några gånger. Men finns det ett alternativ att hoppa över eller så? För jag fick starta min i återställningsläge. Knappa in en gång till och så löste det sig. Ja, men löste det sig då? Du är såhär, du... Ja det är den datorn vi jag ska just nu. Japp. Okej för jag ska inse det här Linux-problemet kan jag säga. Så enkelt är det. Ja, men jag vill gärna ha en review av den datorn sen om du får den att funka igen. men det är en helt ny dator Det är som så här, den är splirransny. det en Yoga 9 Pro någonting Aura Edition eller är det en 7 Pro? är Yoga Slim 7 är det. Ja. Ja. Jajamän så är det. Jajamän, tack tack Och så var det jag gick upp till min son och bara Nu, vi kan spela lite Minecraft Jag tar fram min Windows-dator och ska göra grejer såhär Nej, det ska vi inte göra liksom Så jag fick ju göra det på min macken då Vad sjukt det känns inte som rätt sak att spela på en Mac Jo då, det funkar skitbra Varför inte det? Ja men det funkar väl Men allmänt att spela spel på Mac Känns ju bara fel du har ju en utdaterad syn på det där Utdaterad syn. Fråga en enda riktig gamer om de ens har övervägt att köpa en mack. Ja, men om man inte har en Windows-dator då Om den Windows-datorn är fair enough. trasig på grund av BitLocker. Ja, men vad ska man då göra? Sjukt att vi så många röda trådar mellan dig och mig, Andreas. Det är helt galet. Det är Bromölla Och det är BitLocker. Och det är väl de två röda trådarna i alla fall. Det är som finns. Men det räcker. Alltså det och ett totalt intresse för teknik och nörderi. Nej det är bara du. Jag Okej det är bara jag. Ja men det är jag som är det i försnacket här. Att David kan ingenting. Det var väl det du duktig på att hitta grejer bara. Han försökte hacka mig. Det var så vi började dagen. Andreas vad har du för e-mail? Men, för alla som inte känner till så har vi ju vår favorithacker på besök igen.. andra som är med? Som är Hackers. Ja, Nej. Alltså listan börjar ju och slutar med dig så därför är det väldigt lätt att ha en favorit också. tacka! Sorry. du dig speciell? Klart jag känner mig alltid speciell när jag pratar med er måste jag säga. Det klart. Det finns bara en av oss alla på den här planeten Det finns bara en. Så alla är speciella och unika på sitt fantastiska sätt. Så är är det Det kändes spirituellt på något sätt Det väntade jag mig faktiskt inte Gör du inte Nej faktiskt inte en ganska djup person. Tycker om att prata om livet och filosoferar ganska mycket om saker och ting. Men även när det kommer till it-säkerhet och hacking så tycker jag det är ganska bra att blanda in Filosofi för att allting är inte bara teknik till exempel, men varför blev vi försvarande hackade när vi spenderar x antal pengar och tid och resurser på hacking, hur kommer det sig rent filosofiskt rent strukturellt varför arbetar vi med säkerhet vad är fundamentet med it-säkerhet är det stoppa ransomware eller är det bygga trygghet djupa frågor Ska vi ha ett par frågor. i början? Det är nästan så att vi borde göra det. Vad är filosofin bakom ethical hacking- Jag skulle vilja ändra frågan kan jag inte just ethical hacking eller jo vänta, vi kan ta den också för den har jag inte fått innan så det är liksom helt spontant jag har inte fått den frågan men jag tror liksom Att etisk hackning, att många ser på det som svart magi att man sitter här med en verktygslåda med massa coola tricks och koder som man kan skriva på datorn för att bryta sig in i systemet. Men det filosofiska själva fundamentet med etisk hackning är ju framförallt att... Kunna kontrollera att de säkerhetsfunktioner som man faktiskt försöker att installera att de fungerar på det sättet som man vill att de ska ha fungerat Det blir liksom som en kontrollfunktion att ja, nu försöker vi ha bra lösnoder. Vi försöker liksom strukturera upp så att vissa bara har tillgång till viss information Kan man kontrollera det rent tekniskt att man faktiskt uppnår de säkerhetskraven som man vill göra med kod, med konfiguration med system, med allt det där så det är en kontrollfunktion att veta, att få vetskapen att man är säker eller osäker Men kan man någonsin uppnå total säkerhet Nej det kan man inte. Men det kan man inte med någonting i livet. Du kan låsa dörren, du kan stänga fönstren, du kan stänga av kaffekokan, du kan se till att besiktiga huset så att det inte finns någon fukter. Du kan göra allt vad du kan, men det betyder ju inte att du uppnår full säkerhet Det betyder bara att du har gjort det du har kunnat. Och så är det ju med IT också. Du gör ju bara det du Det som du kan göra, sen det som är oförutsägbart det kan du inte fixa. Men etisk hackning handlar ju om att veta att det du har gjort, att de sakerna får i alla fall fungera på det sätt som du förväntar dig att de ska göra. Men kan inte det också då vara lite att man liksom ska fundera lite på det här är inte Det som vi har tagit höjd för, absolut. Men det vi inte har tagit höjd för är att tänka på det också. Har jag tänkt tanken och någon annan tänkt tanken? Och att tänka den tanken. Det är att sitta och filosofera då. Vad kan någon annan tänka sig vilja göra? Eller vad kan man möjligtvis kunna tänka sig runt detta? Och filosofera runt det. det är ju de här specifika små komponenterna så att du kan ett kontrollera att Att saker och ting fungerar så som det ska göra men sen kan du ju också som du säger, lägga till en kreativ del i en etisk hackning, det kan ju vara att man hittar nya sårbarheter eller nya risker men de ska ändå på något sätt passa sig in i det här pusslet som där du förväntar dig att, okej funkar vår accesskontroll, ja då har man ett extra antal saker som man kan kontrollera med accesskontroll att du som Ruben du får bara ha tillgång till det här systemet får du läsa skriva eller modifiera det här dokumentet så kollar man de här sakerna sen kommer den kreativa biten ner så att jag kanske ska hitta ett annat sätt utanför boxen att du ska kunna läsa eller modifiera en viss typ av data. Man tänker lite annorlunda men slutsatsen fundamentet är fortfarande att kontrollera att du kan uppnå någonting eller inte uppnå någonting. Det är ändå det som är grunden till det hela. Sen att du använder hacking och sådär för att Tyga lite på gränserna och vara lite flexibel i hur du testar saker och ting det är en annan sak jag Jag vet inte riktigt hur jag ska följa upp det här har funderat på just den här frågan vad är it-säkert Mm, är inte den första filosofiska frågan jag tänker mig. Men jag vill gärna höra din ingång Ja men visst nej det kan ju inte vara så att de antika grekerna satt funderade på de här Vad? Vad menar du? vi i vår moderna värld där den här frågan kanske egentligen är ganska existentiell för nu när vi börjar kombinera teknik, AI, virtual reality, augmented reality, smarta hem, smarta samhällen så blir ju kanske frågan om informationssäkerhet Lite mer filosofisk än vad den var innan. Och med det menar jag så här, vad är då it-säkert? Vi förknippar nog ganska mycket med it-säkert alltså med tekniska prylar, tekniska lösningar, tekniska saker som ska åstadkomma någonting. Men vad är det det ska åstadkomma för någonting? Och jag har en fråga till er, innan jag svarar på det här, Får man då tänka sig att vi har digitaliserat allt vi håller på med. Vi har digitaliserat betalningssystem, vi har digitaliserat shopping, kommunikation, kunskap, kärlek, sex. Vi har digitaliserat allting och sen ska vi säkra upp det här på något sätt. Men vad är det vi egentligen försöker uppnå när vi då bygger med säkerhet? Så jag frågar er, enligt er, varför jobbar vi med säkerhet överhuvudtaget? Skydda personligt perspektiv skydda personlig data och integritet så att det du gör är bara du som ansvarar över och styr över och inte att det är någon annan som styr och kontrollerar dig och kan utpressa dig på den informationen Vi har en motfråga då Om vi nu har Digitaliserat allting som egentligen är mänskligt Vilket man egentligen skulle kunna säga Vi har digitaliserat, det finns en digital App eller funktion eller hemsida eller någonting. För egentligen allting som vi som människor gör. Shopping och dating och kommunikation och allting. Eller hur? Litar ni på it idag? Om du litar på internet idag. Ska du säga såhär it det är bra. Det litar jag till hundra procent på. Det är snyggt. 100% det är en stor siffra tycker jag. Hur många procent litar du på it idag? det beror på vem som står bakom it-en. För jag tänker att det är li... Jag fortsätter filosofiskt här nu då. Det är saker som du har. Förlåt förlåt förlåt Det är lite som, ja men generellt sett ja. Men det är lite som att när du har information, om vi inte pratar lite. Att jag har någonting som jag kan av mig själv eller någon runt omkring mig eller någonting som har hänt mig. Vissa grejer delar du med alla, vissa grejer delar du med, det är bara din partner, vissa grejer delar du med dina barn, vissa grejer delar du med en kompis. Det är ju lite samma sak att du, mottagaren litar du på med viss information. Och samma sak tänker jag att det är på nätet att viss information Litar jag på att den här mottagaren kan förvaltna ta hand om och hålla säkert så att inte det sprids vidare till andra. Och det är ju IT-säkerhet. Och samma sak, alltså informationssäkerhet om vi nu ska prata IT-information. Likheten där, om vi nu ska lägga över allting i internet. Kruxet tror jag är att vi förstår inte, den moderna människan är inte så pass modern så den är liksom... Förståelse på internet och vad det är, för det gått fortare än människorna utvecklas, så det som vi nu lämnar förvåna oss, det hade vi aldrig gjort om det hade varit en mänsklig person vi hade delat med oss till vi hade aldrig gett så mycket information som vi ger till exempelvis Google Jag tror du blandar handen med konfidentialitet, tror jag du blandar ihop det med. Du pratar ju jättemycket om data som ska komma i fel händer, man delar med sig av data. IT är ju kanske också tillgänglighet Det är att du ska kunna gå in och betala grejer. Du ska kunna komma åt din patientjournal det. handlar inte om att informationen som du har gett ut. Även kanske med ditt medgivande. Vad händer ifall du inte kan logga in på banken Vad händer ifall du inte kan logga in på 1177? Eller Nuna Bank är det Swish ligger nere eller något liknande. Så för mig handlar... IT om, och varför vi då behöver jobba med IT säkert det här filosofiska tänket, är att ta tillbaka tilliten till IT. Att vi som människor homo sapiens, måste ha en tillit till IT. För att det är för mycket som händer i form av ransomware-attacker, det är överbelastnings-attacker, det är information som sprider sig till källor som inte ska ha den informationen. Det är liksom, det är alla möjliga Komponenten är helt pyttipanna av olika problem som finns men i grund och botten det filosofiska är att vi som människor homo sapiens inte har en tillit till IT. vi har alldeles för många människor på den här planeten som fortfarande tycker att IT, det är komplicerat det är svårt, jag förstår mig inte riktigt på det men jag måste leva med det jag får en anställning på ett jobb Och när jag får den här anställningen så får jag en dator jag får en mailadress, jag får en mobiltelefon, jag får tillgång till en massa system som jag ska jobba i. Men jag har egentligen ingen utbildning. Jag kan, vi som människa... Jag kan inte förhålla mig till it ännu för att vi har bara levt med detta under väldigt kort tid. Så enligt mig så handlar it säkert om att vi måste ta tillbaka tilliten till it på samma sätt som att jag har en tillit till elektricitet, jag har en tillit till medicin, jag har en tillit till flygverksamhet att jag ska kunna hoppa på ett flygplan och flyga till var jag nu ska flyga någonstans och känna mig trygg. Men med IT och digitalisering så är det få människor som känner sig trygga för att det är så himla komplicerat och konstigt. Så från en filosofisk perspektiv så tror jag att är det det handlar om. Snacka om att börja på ett djupt plan. Det Och där var Ja, då var det... Nej, men jag tror absolut du har... Du har ju tänkt på det här bra mycket mer än vad jag har gjort, inser ju jag Men jag tror att du har en väldigt viktig poäng i det du säger. Och att det handlar om, inte bara då som Ruben är inne på, data och hela den biten. Utan också tillgängligheten och hur vi utnyttjar det och att det tar tillbaka det. jag. tror Ruben har helt rätt att data hamnar i fel händer men det är en del av den här pyttepannan av problem som finns. Nu när vi bygger smarta hus och smarta hem och smarta samhällen tänk ifall taxibolagen inte kan ta emot beställningar eller sjukvården får fel information eller när vi trycker på strömknappen så funkar saker och ting inte. Vi har ju så mycket som är digitaliserat som man inte tänker på är digitaliserat och den tillgängligheten tror jag också kommer vara det nya guldet för cyberkriminella. Många pratar om att data är guld. Nu när vi har IOT-prölar som mäter puls och vi har allt uppkopplat så är det våran data som cyberkriminella vill komma åt. Nej, jag tror ju att det som cyberkriminella kommer gå på är... Tillgängligheten till datan mer än själva datan i sig. Att vi inte kan komma åt datan eller funktionen av det vi vill komma åt är ett större problem än att min personliga data läcker någonstans. Men ja och du är lite inne på det för det var en sån grej vi skulle vilja ta upp för på senaste tiden så har det ju varit väldigt mycket attacker mot tjänster och myndigheter i Sverige som vissa fall begränsa vår tillgång till många andra tjänster, i form av BankID till exempel. Men också att SVT har varit angripna, SWISH, Arbetsförmedlingen och så vidare. det det du tänker på att det kanske är att begränsa tillgången på det här som kommer vara framtidens kriminalitet? det tror jag. För att när man ser de här konsekvenserna av att BankID, Swish, SVT ligger nere ta det gånger tio eller gånger hundra att, det liksom inte att det inte är en isolerad händelse att nu ligger SVT nere eller nu ligger Swish nere eller nu ligger det nere tänk om fler saker ligger nere samtidigt. Att just den här att det här att vi som människor är så beroende av Tjänstdigitala tjänster är nog ett större problem än att själva informationen Läcker att komma ut. Jag accepterar ju inte att data ska spridas fritt. Det är inte det jag säger. Jag tycker inte det är en bra grej Jag tycker det är jättebra med kryptering och att vi har GDPR. Men samtidigt så ser jag mina barn och deras vänner som totalt sett inte bryr sig ett dugg om GPS-koordinator till exempel och bara, men vi har Snapchat-kartan det är där jag ser var alla mina kompisar är någonstans de lever i en helt annan värld än den här dinosaurien som är på denna sidan som tycker att det där är jättejobbigt och konstigt, så lever de i en värld där deras personliga data är det gör ingenting det är helt ointressant att den finns där ute för de har under hela sin livstid Delat med sig av den här, datan hela tiden. Medan vi då kommer från en värld där vi gick från att ha fysiska grejer till att nu helt plötsligt bli digitala. Så för oss är det jobbigare att vara med om den transformationen. Så datan är vi inte lika angelägna på att skydda på samma sätt som tillgängligheten till datan. I är svårt att förklara nu på 30 sekunder. att jag är halvt en fot i båda generationerna en sån som slog mig nu när vi pratar om tillgänglighet det tog mig jättelång tid tills jag la in Apple Pay mitt kort i telefonen så kan betala med telefonen För jag litar inte på att jag alltid kommer ha batteri Eller ha med mig telefonen Eller lita på det systemet Eller lita på iten att det kommer funka Men jag kunde lita på ett fysiskt bankkort För det visste jag, det har ju med mig Även så körde TapuPay Alltså med NFC-läsaren där ändå Principen är densamma Det är bara att jag har telefonen eller bankkortet Mm. då kan du ju vända på det. men Nu Jo men du... ju aldrig bankkortet Jag har ju aldrig med mig det Jag kan inte ens min kod längre tror jag Hehehe din tanke Men om jag ska vända det till vad jag tänker mig. Vad David är ute efter. Så spelar det ingen roll om din telefon har laddning eller inte. Om terminalen är nere. ska du ha cash. att det är tillgängligheten som blir problemet. För att visst har du ett kort. Eller om du har din tap to pay med din telefon. Problematiken är ju inte om du har slut på batteriet. För det är ett väldigt lokalt problem för dig också. Men om terminalen är nere. Och alla terminaler är nere. Då står du där och då spelar det ingen roll om du har ett kort eller inte. Kan du kasta det genom fönstret? Så jag förstår absolut vad du menar. Och det tog mig tid också innan jag adapterade Google Pay i det här fallet. Men tillgängligheten till systemet, om BankID går ner, så är Det ju inte... Min bank, nej men du kommer ju inte in på något ställe där banken är nere eller där du har det som inloggningsuppgift heller det är ju bredden av det som jag tänker är den stora frågan Men det är så mycket annat också. Menar tänk om nu när vi får bilar som är mer digitaliserade, tänk om du inte kan komma in i din bil eller du kommer inte in i ditt hus för att systemet inte Ja som gör att du inte kan låsa upp det. Är det fortfarande ganska fysiska saker. Du har en NFC-grej som låser upp ditt fysiska lås. Men titta bara på hur snabbt utvecklingen har gått, hur mycket som blir kopplat till molnet. Vi går åt den trenden att mer och mer blir uppkopplat mot molnet och mindre saker går att göra rent fysiskt. Ja, man har ju pratat om hela den här 5G-revolutionen att man ska köra IoT i hela samhället. För nu helt plötsligt har vi 5G som klarar av att skicka data med den kapacitet som krävs för att hålla ett uppkopplat samhälle. Alltså med kritiska grejer samhället. Helt plötsligt så kör vi ett 5G-nät som ska köra all styrning i samhället. Det är en utopi och en dröm som man har på ett sätt, men det också en risk för att helt plötsligt kan du stänga ner... Låt oss leka med alla trafiksignaler alltså exempelvis visst man har ju backup med att man har andra regler som gäller i trafiken då men du kan ju i teorin stänga ner vatten körlösen till exempel Ja, man har ju snackat om att man ska ha vattenmätning och grejer med 5G för att mäta upp det. För att finns en positiv effekt av det. För man kan mäta hur mycket vatten som går igenom och upptäcka läckor med mera med mera med mera. Men risken är ju också att du kanske kan stänga de här valven med en 5G-uppkoppling Eller att du stoppar vattenflödet eller pumpar eller vad det skulle kunna vara. Alltså nu drar vi till extremerna, men men det är lite det jag är inne på också, att vi kopplar upp mer och mer saker mer och mer sensorer och vi är på något sätt okej Att den datan åker ut, det vill säga att vi har accepterat enorm datainsamling på ett sätt som vi inte har gjort tidigare och vi går också in mot en AI-revolution där hela hela revolutionen handlar om att vi ska arbeta och jobba med datainsamling det är ju det som är Hela AI-delen handlar ju om att vi ska ha stora datakällor som vi kan arbeta med. Och det enda sättet att få dem är ju att samla in data. Så om vi då förbjuder våra applikationer våra system och whatever att dela med oss av data så har vi ingen data att arbeta med överhuvudtaget. Och det är också ett sådant bevis som jag säger att vi går ifrån ett samhälle där data är det absolut viktigaste som vi har. Från ett säkerhetsperspektiv att vi är vi vill skydda vår data det vill vi inte längre på samma sätt vi vill inte skydda datan för att den ska hamna i fel händer vi är mer okej att den hamnar ut överallt men det är tillgängligheten till datan som vi är mer benägna att skydda förstår ni vad jag menar nej jag menar det Du är mer angelägen du bryr dig inte lika mycket om du köper en ny pryl om den är uppkopplad på nätet och den delar med sig av olika saker som händer. Såklart då pratar vi inte om extrem personlig information som bilder och video från saker som inte ska exponeras. Vi pratar om en wearable, en klocka ja exakt pulver Exakt, det är såhär det var ju totalt mindblowing för några år sedan bara, ja nej men vi kan ta de där grejerna det är liksom helt crazy, tänk om den datan kommer i fel händer och vidare nu är det såhär, ja ja, och det är väl helt okej alltså, ja har all data de vill om mitt hälsostånd utifrån vad de kan läsa utifrån de sensorerna de har med en klocka Exakt och då har Samsung i mitt fall. Men det var ju ett sipersnack Liksom när de kom att Oj, oj, oj nu mäter vi puls och tänk om någon kom åt den informationen Du kommer aldrig kunna teckna försäkring med I hela ditt liv, oh my god Såhär liksom, och det har vi liksom bara släppt nu Det är en kul trend att det där som var super... Alla gick så jäkla mycket pengar på folk som skulle implementera GDPR. Se hur det gick. Tror vi åstadkommit någonting egentligen? Nej, det har varit bara huvudvärk för en massa företag. För helt plötsligt så släpper vi väldigt mycket data fritt idag. Visst det är inte e-mailadresser och kontaktuppgifter men det är alla andra data. Ja, så också i Sverige när allting ligger publikt ändå på typ merinfo eller hittamintasse eller razzit så är det såhär, ja, du finns där om du vill det. Doxad by default Mm. Doxad by society Men technology det är så by technology Och jag tänker, vi knyter an till det här Jättebra, för att vi hade ju en liten Story förra gången Om att det hade tillkommit Ett litet husdjur Hemma hos David En robotdamsugare som var lite ofrivilligt Placerad där Ja. Det är så sjukt Igen det där Man blir så rädd för en ny teknik Så bara nej den ska inte ha någon jäkla grej Så jag använder den hela tiden Jag använder den senaste idag faktiskt mm, mm, Jag mår väldigt bra av den Jag har extrem glädje Av min robotdamsugare som jag fick Av min fantastiska fru Så den bor kvar Då kommer ju följdfrågan här då. Har du expanderat till några fler grejer nu när du har hittat kärleken i robotamsugaren? Så, David, din attackyta har ökat. Jag skojar du, den är helt bizarr ju. Alltså jag har en polrobot också som dammsuger polen. Den Nej, den försöker vara uppkopplad men sen går den under vattnet och tappar uppkopplingen. så den är uppkopplad när jag... Startar den och kastar den i vattnet, då kan Jag liksom... Men den är inte uppkopplad på det sättet men jag anser ändå att det är en uppkopplad pryl för att den har wifi och bluetooth i sig. Men sen att den inte har liksom... Räckvidd, den går inte ner i vattnet. Jag har ingen säger ju så är nyttan Jo för den har olika program Så du kan ställa in såhär Vill du att den ska städa väggen på polen Eller bara botten på polen Eller både och såhär Så den har en massa program man kan be den du vad som också skulle kunna lösa det? Knappar. vara Men nu har jag fått appar istället. Okej Ja, Så är det. Men vi har ganska roliga namn på den. Det kan ju alla lyssna och vara med och hjälpa och hitta ett bra namn på den. För vi har ett par olika namn som vi inte riktigt är överens om vad de ska heta. Så alla lyssnare, var med nu och hjälp mig att få ett bra namn Vi har kan köra en sån omröstning på Spotify. Det kan vi lägga in så att hon kan få. Ja! Mm. det, för det här är några namn som min kära fru har skickat. Och de är ganska bra, så vi har svårt att välja. Det första är Splash Gordon. Mm-hm mm-hm. Och Det tredje är Pulverine. Pool Marine. Ouh! för Wolverine så är det Pulverine. Så de tre, vi vet inte vilken vi ska ha det i Jag personligen tycker att den ska heta Swim Shady. Min fru tycker Splash Gordon. Ingen har sagt Pulverine. Vad sa du? jag säger också Splashgården. Okej Andreas, vad säger kopplingen till Gordon? Splashgården. Gordon. Eller du är för ung för att förstå det. Ja det är en... Det är inte en superhjälte men det är en... sån här... rund superhjälte grej du heter Flash Gordon. Och då har vi döpt den till Splash Gordon okej fair enough, fair enough. Gordon, Pulverine eller Swim Shady. Jag gillar Polarine. vill bara vara annorlunda Jag tycker den är rolig. Min robotamsuger heter ju Dustimus Prime. Gud vad bra Och sen så Den ju fantastiskt Ja hette Sir Dusterlott den är också snygg Så tänker jag Hade jag haft en Sir Dusterlott Man kan ju inte döpa samma Eller olika robotamsorgar till samma namn Men hade jag haft Sir Dusterlott kvar Och köpt en robotgräsklippare Så hade den ju hetat Sir Catterlott Okej så pooldamsugare eller poolrengörare, är det mer grejer? Mm. Alltså Jag har ju renoverat huset Jätte mycket Har han fått ett smart hem? jag tänkte att det skulle komma jättemycket grejer här nu. Det är ju liksom, elektrikerna, jag har gett dem carte blanche på att fixa, bara lösa problemet, bara fixa där det behövs fixas. Och allting är uppkopplat, alla lampor är uppkopplade med det här Plaid-systemet. Det är ganska smidigt i och för sig. Betyder det bara lamporna, men ändå det är jäkligt mycket Plaid-lampor i huset kan jag Mm. Och jag har tvättmaskinen Ja men det var den tror jag du berättade om förra gången. Ja, Vi den har jag stängt av. Ja, jag har stängt av Det Det var ju meningslöst det. jag stängt av. Det vill jag inte ha. Och den sista grejen det är ju då mitt dörrlås. Oj, den väntade jag mig faktiskt inte. den är... Ja, jag försvarar väl inte det på något sätt. Men det är ju liksom... Jag kan ju bara dra pluggen på en pryl Som är kopplade till dörrlåset. Men det sjuka av alltihopa är att den här prylen pratar ju blåtand med dörren. Vilket inte är det smartaste. Så det är liksom en pryl som pratar wifi. Och den prylen den här pucken, pratar blåtand med dörren. är inget bra det där. Det är det för lås? det var inbyggt i den dörren jag köpte så det är ju inte ett sånt här gel Jaha. annat möge. Så den är jag inte helt nöjd med kan jag säga. Nej bra. är inte det bästa protokollet i världen. Nej, det känns som att till nästa avsnitt ska jag försöka hacka min dörr Så känns det Ooooh mm accepted eller hur? dig själv än så länge Alltså se så du kommer åt allting För att se faktiskt Alltså nu sitter du på väldigt mycket information om hur allting är uppsatt men har du försökt hacka dig själv Ja men det gjorde jag ju för några år sedan Då gjorde jag ett projekt som. heter How I hacked my home Men det har tillkommit grejer sedan dess Så det är väl dags att göra en How I hacked my home 2.0 kanske Mm. så kan du alla fall dörrlåset, jag känner att dörrlåset är, för de andra grejerna skulle jag teoretiskt väldigt lätt kunna stänga av och jag har stängt av ganska mycket av grejerna, typ tvättmaskiner som jag sa, mycket som inte behöver ha wifi så nej jag har inte jättemycket. Grejer ändå. Playd-systemet är inte uppkopplat till molnet. Det är bara lokalt hemma. Mm. Det är också Bluetooth, men det är inget wifi, ingenting, utan det är bara lokalt. Men ändå jag gillar inte grejen med uppkopplade prylar. Jag har inte hittat ett bra syfte med sakerna ännu. Jag vet inte om de fick sätta in ett Playd-system till dig? Ja, men det bara fanns när jag kom hem. Det bara var så. Men det robotamsugaren den är ju faktiskt, för den kan jag dra igång när jag inte är hemma och det är smaskigt måste jag säga. Men den sitter ju på ett eget den sitter ju på ett eget DMZ så det är på ett eget WLAN. Så den kan ju inte prata med något annat än bara internet. Så så sett är det ju bra. vad kör du för internetsetup? Alltså vad har du för router och system och så? Unify-grejer överallt men det gör samma som jag. kör jag. Ska du lägga till din publika IP-adress också? Ja men den finns, jag hostar ju massa grejer här hemma så det kan man ju säkert hitta om man googlar lite, så det är inga Man vet om man letar upp det. Det kan ju vara... Ska man hitta det så får man ju ändå lägga lite manken till, tänker jag. är nästan som att man vill säga såhär Jag bjöder på glass för den som hackar min dörr Jag Ja. Vet du vad du skulle kunna göra? Lägga en liten hylla innanför dörren. Glasspengar till den som hackar dörren. Ja bor i Åhus Så nu vet folk var jag bor också Men det är inte särskilt hemligt det finns alltid glass här hemma finns glass och absolut vodka. Ja, och det senaste vet du vad det är? Jag har köpt, vet du vad de här svenskjävlarna är för någonting? det med vodka eller? Nej, de har ju åt någon ny glassås. Jag höll på att säga chokladsås men lackrissås då. Som är baserat på den där jättesalta. Det är smaskans, det bjuder jag på. Glass, lakritsglass Nej nejsås. då. jojo, men det blir ju lakritsglass när du häller det på Ja, kommer du inte ha den gamla glassen? gillar du lakrits? alltså ja, jag gillar saltlakrits, men I godisform. Glass vet jag inte riktigt. Då är det dejt Då ska vi äta Mm Vi ska hacka lås äta glass. Hacka lås äta glass. Kan Men spontant så känner jag att Det måste ju vara lättare att lura någon till ljuset lösenord eller hitta din läcka eller någonting än att försöka hacka hårdvara i sig. Alltså det är ju både och, tycker jag Det är ju... Sitter du och gör din research hemma och du till exempel har en egen Home Assistant server så sitter du och petar på den tills du då hittar någonting Oj här är ju ett problem här. Om jag byter ut den här parametern mot det här så kommer jag in och så händer det grejer. Då har du ju nyckeln in till alla andra som har exakt den konfektionen eller det problemet. och då är det ju lätt. Men det svåra är ju att hitta Det där sättet. Men att lura folk. det är kanske mer skalbart. Det ganska lätt att skicka ut en miljon phishing-mail till exempel. Och bara hoppas på att någon ska klicka på länken. Och så blir man lurad Och så kan jag göra det Varje vecka. man Kan bara mata ut mejl och så kan man fiska upp uppgifter på det sättet. Men om jag sitter här och nu och säger såhär, Andreas Och Ruben nu ska jag skicka phishing-mejl till er. Alltså. Nej det är inte så lätt att när man går in, den individen Ska jag försöka lura. Då krävs det säkert ganska många försök och ganska mycket research om den personen. Det är inte omöjligt men det är inte lätt heller. man kallar det spearfishing, när man går åt ett specifikt företag eller en specifik individ och försöker fiska information om det företaget eller den individen. Men ja, kör på. Det är just det här Att när det då är någonting du kan göra i en extremt stor skala Då känns det som något som är lätt. Men det. är bara för att du behöver ha ganska få procents hit rate för att du ändå ska få ut ett värde av det. ett så sätt så är det väldigt sällan någon targetar en specifik person eller ett specifikt företag utan för att få ekonomi i det så går man brett mm Du matar ju till allt och alla hela tiden. Det är därför vi får nätfiskemejl konstant hela tiden. Och de transformeras, det är någon form av evolution i det hela. Det är anpassat till årstider, det är anpassat till religiösa dagar, till Black Friday, till julafton till det ena efter det andra. Men det är ett konstant flöde av nätfiskemejl. De går på Microsoft 365, de går på MFA-grejer. Det räcker ju att någon går på det en gång och då blir den personen ett offer för det här nätfisket. Men du har ju säkert fått sådana mejl hundratusentals gånger där du inte har gått på det. Men det är just den gången där du går på det, det är då de finner informationen. Men det är ju också det här att de går ju på extrem bredd Och där är väl det jag har tänkt på det, att man pratar om personlig data och att man ger folk så mycket. Inte alls givetvis inte, för det är mycket personlig data som man ger, kanske bara låst in bakom låsbom och krypterat och du får inte ut den. Men en del av datan du ger ifrån dig är ju öppen för allt och alla, eller folk som vill köpa den. Det är ju som man jobbar med marknadsföring idag. Du kan också jobba väldigt brett, till exempel på Facebook eller Google eller liknande. Och då skulle ju de som kan hacka kunna göra samma sak. Och skicka ut riktade phishing-ads, och det görs ju. På samma sätt att helt plötsligt står ditt namn, det står din information, det står vem du är och de ser att du har köpt en, vad vet jag, en cykel på Amazon. Och är det så här, men shit, du ska ju här, klicka på den här länken för att få extra cykelförsäkring och skärmen för sådana. Ja klart vill jag ha liksom, vad kul. Och så jag tror att du är helt rätt där Ruben Jag tror att AI kommer att spela en ganska stor roll här. Mm, Samla in information, bearbeta information och sedan skräddarsy de här, som du sa, med marknadsföring och hur man gör det med nätfisk också. Det där kommer ju definitivt automatiseras i framtiden, Jag bara tänker på när man får mejl från företag alltså en sån här utskick när man är med i det, att man är kund någonstans eller har varit med och du har fått mejlskick Då står ditt namn, ditt kundnummer, en kampanj som passar dig, din ålder, fyller du år eller vad som helst. Och det är ju ganska publik data som går att få tag på. Och helt plötsligt kommer du få liknande mejl från någon som vill bedra dig. Så står det, tryck här för att få kampanj. Ja, soft, absolut. Och så har de liksom tagit deras domän och sen så är kört. Eller gjort något som är likt deras domän Det är jätteenkelt Tänk att bara göra det Precis som du sa På när man fyller året Okej du kan få ett mejl Ja du har vunnit ett presentkort 500 spänn på Elgiganten Whatever vad Det nu är för någonting Klicka här för att registrera dig Och så ska man fylla i Ja men den är ju ganska Nästan som att man själv hade åkt på Jag tänker bara när man får lov då får man så här, hej du får 10 000 rabatt om du går in här och anmäler dig. Ja, absolut. Och tänk om det. då var ett erbjudande som är så bra att man knappt kan tacka nej Ja men då är kanske man känner såhär, jag men för bra avtackar ni er till. Då är det ju skäm. Det är men någonstans mitt emellan såhär, det är 25% eller någonstans istället. Okej men det var ju, det är så pass bra att man känner såhär, oj det där var ganska generöst, den kör jag på liksom. det I obehagliga tankar. är ju någonting som jag har reflekterat över på hela den biten men det har ju också blivit ganska svårt att avgöra vart det kommer ifrån. Ett jättebra exempel på det är väl Facebook när de skickar ut... Mejl. De använder typ service.facebook.com eller alltså de använder de sådana här mejl-FB. De använder helt konstiga domäner i sina mejlutskick och det är inte bara dem. Det finns andra leverantörer som gör det också men det var de som jag kunde såhär från top of my head. Hur ska jag då veta... Man har alltid lärt sig att kolla mailadressen, kolla skriften, kolla det här. Men om språket är helt rätt, det är rätt träffat mot dig och till med de riktiga aktörerna använder konstiga domäner i sina mailutskick. Hur ska jag veta att det är ett pålitligt mail? På tal om att lita på IT. Hur ska du kunna lita på den datan? Och det har man inte tid till att göra heller Alltså Det går inte jag har ett exempel och jag får dra det lagom detaljerat. Så att jag inte hänger ut företag. Men företag. händer på jobbet. Så nu har jag ägt för mycket informerande. gå in på LinkedIn och kolla vad du Ja, lite jobbar rummen? Man har gjort som alla företag gör. Man har en massa utbildning för personal. Hur man ska tänka kring etersäkerhet och beteenden. Hur man jobbar fysiskt med och allt möjligt. det har gått väldigt bra, vad jag har förstått. Men så hade vi någon medarbetarundersökning som skulle gå ut. Den hade man glömt att informera om innan den skulle gå ut. Och typ 70% av alla anställda Gick bort till ytavdelningen Alla har fått ett konstigt mejl här Från en konstig länk Och de vill att jag ska gå in och göra en medarbetarbesökning Det är phishing liksom Men så tog det två timmar Det var faktiskt en riktig medarbetarbesökning De skickade bara ut från en väldigt konstig länk Och det var en väldigt konstigt formulerat uppsatt mejl Och det är ju Det är ju bra att man reagerar Men det pekar också på att Mejl är dåliga för de viktiga aktörerna också Ja. av en success story skulle Ja det var skitbra Alltså jätte jätte bra var det faktiskt Vi sa det då De som var snabba att klicka på den här länken Utan att kolla De borde man ta en extra vända på utbildningen med Det kan man ju tycka. men det är också så, men jag tycker det är en sån paradox det hela. Vi har byggt system där vi är beredda på att ta emot information från okända människor. och sen gnäller vi att vi får ta emot information från okända människor. Men det är det som är hela syftet med e-mail, att vi ska få mejl från okända människor. Det är det som är hela grejen. det är som en brevlåda Och sen tycker vi det är jobbigt att det. kommer in en massa reklam där. Ja, Jag får reklam i min fysiska brevlåda också. men man behöver nog få komma åt det som du snackar om, Ruven. Den här magkänslan av... Ja, Men det här känns inte okej För att tekniskt sett så kommer det alltid finnas något jäkla tricks. som du också sa, Andreas. en domän ser snarlik ut. Det är den här magstjänsten. Nej, men vänta lite. Ska jag verkligen lämna ut mitt kreditkortinformation här Ska jag verkligen göra det Ska jag verkligen behöva logga in här en gång till? det är kanske de sakerna man ska spara Mer sikta på än att oj du klickade på ett mail som du inte kände till ja men det är ju det som är poängen med mail att jag ska göra det Vi hade ju en separat sån grej Vi skulle ha det ner VLC och Andreas för ett tag sedan Och där var Hemsidan väldigt suspekt Och de har inte utvecklats På 20 år liksom Som koncept i mediaplayare Mediaspelare Men jag var tvungen att googla och kolla ut Är detta verkligen riktiga hemsidor Är det rätt grejer att ladda ner Ett riktigt malwareprogram Det känns ju också som att VLC skulle vara ett ganska utsatt program att försöka lyra in någonting i, tänker jag. Men det VLC har väl haft någon bakdörr i sig att det var någon som lyckades bakdöra VLC-binären. Det måste jag kolla upp. Jag vill också poängtera att jag. har ett mejl från en mejladress som heter securityatfacebookmail.com Och Vad är det? Och det är ett riktigt Facebook, det är återställning av lösenordsmail. Varför i självaste har man den mailen? För mig tycker jag det är ett hål i huvudet. Hittar du ett hål? det har funnits massa sårbarheter men om det just var bakdörrar det kanske jag får ta tillbaka. Men massa sårbarheter har det ju varit. VLC play just in malicious campaign liksom massa... Så ska vi blanda in flash i det så finns det ju hål att hämta. Men hur du som ändå jobbar inom industrin, är det liksom vetskapen om att det kan hända som gäller? Eller hur bygger vi bort det? Eller hur hanterar vi det? Hur ska man som privatperson tänka i den situationen för att undvika att falla för det här? Det är ju nu det jag var inne på just att att klicka på länkar kommer vi liksom inte komma ifrån det? är liksom så vi har byggt internet. Men det? är såklart om jag har fått mejl från någonting som ser väldigt suspekt ut, någonting som jag inte har ens efterfrågat, då kanske man kan radera det. Oftast en sån här lösenordsåterställning eller ett säkerhetsmejl. Kanske jag har förväntat mig På något sätt men om man nu i alla fall har sånt mejl framför sig och man råkar klicka på länken och känner såhär okej men då är det just det här ska jag behöva logga in en gång till eller ska jag behöva lämna ut mitt kontonummer många säger såhär, men du måste betala tullavgift på 25 kronor har jag beställt något överhuvudtaget det här är inget normalt beteende Så att man kanske ifrågasätter sig det där lite. och sen kan man ju också, när man väl har kommit så långt titta lite på adressen. Om det står Så att jag ska behöva logga in Det ser ut som Microsoft 365 inloggningsruta till min mail eller mitt Microsoft-konto. Eller Facebook eller vad det nu må vara för någonting. Om det inte står facebook.com längst uppe då är det inte det. Jag brukar liksom bara radera de mailen och bara, nej men jag skippar det. Mm, nej. att undvika att folk klickar på länkar, det är ju svårt. Det är inte där jag tror vi ska lägga energin utan det är steget efter. har en hel verklighet som är byggd på att man ska klicka på länkar. Så det är ju liksom oundvikligt på något sätt. Lite samma sak med telefonbedrägeri eller folk som knackar på dörren kanske och vill sälja något eller vad som helst Okej du har ju en telefon. Du måste förvänta dig att folk kommer att ringa till dig Men om, de vill att du ska öppna banken, du ska logga in på banken och ska överföra pengar. Nej, men där kanske man ska känna att det där känns inte helt top notch faktiskt. Att nej det kommer jag inte att göra De säger att de ringer från banken då kanske jag ringer upp banken i sig och dubbelkollar det här med dem. tänka två gånger då. som jag tänker är framtidens problem och möjligtvis nutidens problem. Alltså A är ju deepfakes. Och deepfakade röster och för den delen ansikten och allt möjligt. För nu börjar det verkligen bli galet bra. Och helt plötsligt Så är det din dotter eller din fru som ringer dig och säger Hej, kan du bara föra över de här pengarna? Hej kan du fixa den här grejen? Och behöver man inte AI för, det är bara att skaffa en tonn och sådär. Dom kan du swisha? Hehehehe swish, pappa swish. Ha AI, det är fake. Det är bara real life. Det är inte en skam Det bara är sanningen. Skämmet skedde 16 år sedan och 9 månader sedan Det är då man blir skämmad på sina pengar Vadå du sa ju att du skulle lägga ut allting på TikTok och du sa att du känd där Nu kommer din dotter höra det här, ja Ja. Ja, hon känner till problemet redan. För henne är det inte ett problem det är bara en fördel för henne det är mer jag som ser det som ett problem Jo, men det kommer ju vara svårare att avgöra Jag tänker specifikt för kanske den lite äldre generationen som inte växer upp med det här. Okej det här var ju rösten av mitt barnbarn eller det här var rösten av min son. Han kanske är i knipa och behöver de här pengarna på ett annat sätt Jag lever på hoppet att vi i vår bransch kommer på bra system som vi egentligen redan har kommit på men att de ska implementeras överallt där man kan verifiera samtalet och den människan man pratar med att jag vet vem det här är när jag får ta emot ljudet eller samtalet. Men det kommer säkert att finnas sätt att komma förbi det På Det finns redan Ja, alltså det är ju att Du om jag får till exempel ett samtal från banken Och banken vill att jag ska göra vissa saker med telefonbanken, så kommer det. stå att jag måste liksom logga in med bank-ID jag måste liksom autentisera mig med bank-ID och så vidare. Så att vi får in den här typen av autentisering och legitimeringen mycket mer i våra saker. då är vi tillbaka till där vi började va? Att vi har tillitet på att de här systemen finns och finns till hjälp För oss. För ligger banken i det nere, vad gör du då? Ja, du bryr dig inte om dina pengar i alla fall. det? är ju en fördel. Så... Mm. kom inte åt dem heller i och för sig Nej. nej Nej men det är ju två olika grejer tycker jag Att du inte kommer åt dina pengar som ligger på banken Det är ju ett problem Men att du blir bedragen på att någon skär dina pengar För att de lurar dig Det är ju ett annat mm men Men jag hoppas ju att samtidigt som de kriminella utvecklar kanske deepfake och genererade röster och videos så jobbar säkerhetsbranschen lika hårt om inte hårdare på att försöka hitta skydd mot det här på ett eller annat sätt. Det kan ju vara att det kanske finns en fördryning med överföringar på banken eller att det. finns något annat som bankerna också kommer på. Det är ju inte bara bankerna man ska peka ut, det finns ju bedrägeri på alla möjliga sätt såklart Mm. Men att vi börjar eliminera detta och sen kanske vi får en, alltså den som är den äldre generationen idag kommer ju, låter jag hämta sig även på något sätt, dö ut. Och Så kommer jag bli gammal och så kommer ni bli gamla. Det en del av evolutionen. Så förhoppningsvis så har vi lärdom med oss när vi då blir den äldre generationen eller blir, jag behöver inte vara äldre men blir offer för typ av bedrägeri. Men det är ju lite av yin och yang, vi kommer liksom aldrig kunna eliminera detta. Vi kommer ju behöva ha onda kraft i världen för att kunna liksom acceptera och godkänna de goda och tvärtom. Men förhoppningsvis så är det mer av de goda än de onda. Vi har pratat en del och jag funderar på jag skulle vilja ha din åsikt men vi har ju pratat en del i podden om passkeys och att det skulle kunna vara en väg framåt. Är det någonting du använder själv eller om vad är dina tankar? använder Passkeys själv och mina tankar är som med allting annat som vi implementerar. Multifaktors-attentering pratade vi om förra gången till Mm. Nu pratar vi Passkeys och All form av bra teknik som Perskis och MFA måste ju leva i ett ekosystem som är designat för Perskis och MFA vilket det inte är fallet idag utan man har då gamla system som inte är designade för att hantera till exempel en viss typ av sessionshantering och liknande. för att sessionshantering och autentisering är ju två olika saker. Det vill säga att sessionen bryr sig inte om hur du har autentiserat. Nej. eller hur? Så att du kan ju då till exempel gå in i en applikation, i ett verktyg på en hemsida, Facebook är ett bra exempel. du kan ju bara skriva www.facebook.com i webbläsaren och du kommer logga in för att du har redan autentiserat en gång. Och då ligger det ju en session som ska valideras där i. Och den sessionen är ganska lång. Den lever ganska länge den här nyckeln till exempel. Men det är ju på ett konto som har multifaktors-autentisering. Men det kickar inte igång för att sessionen säger att du har loggat in en gång så det är okej du behöver inte logga in för om ett år igen. och det är lite samma sak med Perskis. Perskis lagras på datorerna i till exempel Keychainen på Mac. Den lagras på ett ställe där den är jag ska inte säga enkel, men den är Hyfsat enkel att extrahera vilket då gör att själva Perskis kanske fallerar för att Det finns operativsystem och teknologi som inte är anpassade för Perskis ännu. Men jag tror att när de här saknas om Perskis, multifaktorsautentisering, eller Application isolation och hela det här ekosystemet vi börjar få i Chromebooks och i mobiltelefoner när det blir verklighet i våra IT-system runt omkring, ja men då kommer vi ha en jävla spelplan. Men när vi fortfarande har företag och organisationer som sitter med ZOS, Mainframes och AS400, ja men då... Då spelar ingen roll hur mycket Pärskis och MFA du har till exempel. För att det finns hela ekosystemet inte designet för den extremt moderna coola tekniken. Men vi är på rätt väg. Fortsätt uppfinna alla de här grejerna. Allting. Det är lite som Att ha en airbag på en bil från långt tillbaka. Chassi och allting är inte designat för Det kommer inte hålla. Det kommer inte att funka på ett bra sätt även om du har bra grejer. så måste systemet från grund och botten vara designat för passkeys MFA, autentisering, identitetshantering och så vidare. Tror du att det kan vara lösningen för att slippa ha lösnord och komma ihåg lösnord i den form man gör det? Ja, alltså jag. gillar ju till exempel konceptet att... Att generera lösenord lite on the fly, lite som passkey så att de lagras. Du behöver bara ha ett system för att kunna återställa lösenord. Om du har glömt det så ska du kunna få ett nytt. du ska kunna arbeta med kontohantering på ett bra sätt. Sen kan jag tycka att jag inte riktigt vet jag ställer mig till det här. Men det finns så många sajter som vi inte ens behöver ha ett lösenord på. Alltså som bara är extremt temporära. Hur ofta köper du en, konservbiljett? Jag vet inte, jag gör inte det varje månad liksom. Nej, jag gör det max en gång om året. Måste jag registrera mig med ett lösenord och ge bort en bra grej på någonting som inte är... Jättevärdefullt för mig jag ska bara köpa en konservbiljett måste jag ha liksom måste vi jobba med de här typen av identitet överallt jag skulle hellre vilja se ett system där jag kan köpa en konservbiljett och så använder jag bank i det För att komma åt det. Istället för att jag som användare. Ska välja vilken säkerhetsmekanism Jag ska ha. Vilket lösnål jag ska använda för att registrera mig på en sajt. vi måste komma ifrån det på något sätt Och jobba med identiteter på ett annat sätt. På den typen av information. Som att köpa en konservbiljett. Eller vad det nu må vara för någonting. Ett Spotify-konto. Ni fattar. Många de här sidorna kräver ju någon typ av inloggning. Hur skulle det se ut i verk... Du föreslår att man bara genererar ett och så glömmer bort det och så återskapar det då. Ja, lite så. Eller då att man inte generera lösningar. Att vi inte ens har lösningar. Att Spotify eller de här sajterna som säljer konservbiljetter som vi pratade om, att de i sin tur använder något annat för att validera att du kan få den biljetten som du har köpt. Det kan vara att du ska på något sätt koppla det till ditt betalkort eller att någonting annat som du använder... För att komma åt Den informationen som du behöver. Ditt Spotify-konto, Netflix-konto, gaming-konto eller vad det är för någonting. Istället för just användarnamn och lösenord. Att du använder biometri, du använder ansiktsigenkänning plus någonting annat. Eller vad som helst än användarnamn och lösenord. Jag är emot användarnamn och lösenord. Det finns massa andra lösningar som är bättre. Banker är det en bra grej till alla våra sajter vi, har i Sverige. Så... Eller fria i det eller hur diplomatisk man nu ska vara i diskussionen men om du går och köper en konservbiljett och du kan lägga den i. din Apple Wallet till exempel, men du kan lägga den där istället än att du ska ha ett kontor som är skyddat med användarnamn och lösnord för att du ger bort lösnorden och så hackas de sajterna eller det blir nätfiskare, det blir någonting annat vi har problem med lösnord det är ett problem Ja och alla kan inte vara som Andreas och vara duktiga och ha unika och generera lösningar på varje ställe och sådär för att det är inte bevisligen det vet du alltså det är inte verkligen hur vi lever i för normala användare. Snälla, även solen har fläckar. jo. Men jag tänker ju ändå att du är ett väldigt bra exempel i den här världen medans men det andra är ju inte det. Det är nog är kanske mer en sol än en fläck, känner Jag är nog över i medel i lösenordssäkerhet. Det skulle jag nog kunna våga säga. Om man ska vara så. Men Jag ser ju också problemet. För jag har allting sparat på samma ställe. Och jag genererar lösenord och sparar till... Ticketmaster och till alla de här ställena. Och det är ju ett hälsike när jag ska logga in på min tv med mina 35 tecken långa löser som jag jättegärna hade sluppit att skriva in med en tv för jag har kontroll. Men jag tänker så här, vad är Det man vill få ut av det? Det du vill få ut av är att du får tillgång till någonting som du... Vill ha tillgång till, som något som du äger. Det kan vara tillgång till en app alltså streaming-app på tvn det kan vara, jag vill snacka om den här konservbiljetten. Du ska ha tillgång till någonting. Ja. Varför är den tillgången skyddad med att använda en annan lösning? Varför kan den inte vara skyddad med någonting annat istället Det är ju för att varje sajt kan bestämma själv vad de ska använda för autentisering Och sådär. Vi behöver på något sätt standardisera Tillgång till den här. typen av data där ett användarsatt lösenord inte är det mest optimala att välja. Men är inte det passkeys? Jo, det kan vara passkeys, det kan vara BankID, det kan vara vad Som helst Bara det är någonting som användaren inte bestämmer själv. Men passkeys måste sedan också lagras du lagrar ju till exempel en passkey i keychainen. Den ska inte riktigt ligga där, men med att ha fysiska eller andra system som som YubiKey då till exempel och då snackar vi, men då blir det såhär Okej nu börjar det bli mäckigt, okej nu ska jag ha min YubiKey, jag ska stoppa den i datorn jag ska ha den Vi måste hitta ett sätt där det här är ganska smärtfritt. Är det här det du pratar om nu, är det en trend jag har upptäckt på senare tid? Och även på ställen där jag har loggat in tidigare, där jag vet att jag har ett lösenord, så frågar de inte längre om mitt lösenord utan de... Man skriver in sin mejladress och så får du vi skickar en kod till dig. Eller vi skickar ett sms till dig. Och det flera ställen där jag har plockat bort och jag har reflekterat vänta lite nu. Och så gick in i min Bitwarn. men Jag har ju ett kontosparat här med lösenord. Men ändå vill du skicka ett mejl till mig med en aktiveringskod och Så behövde jag inte slå in lösenordet. Det har jag inte ens reflekterat över men jag tror du har rätt i det att många tar bort lösenorden och så skickar de en unik kod till din mail istället Och det är också något som jag skulle säga att det där är bättre än lösorn. För lösorn vet vi att det är kast. Så även det tycker jag är bättre. Sen får man ju skydda sin mejl såklart Den ska man ju då skydda på något bra passkeys. Mm. det funkar lika bra att du får ett sms eller sådär, sen kan folk argumentera att just sms är inte bra, för dem kan man snappa upp i luften och bla bla, Men det finns inte någon sån här. Jag inte om det är en grej i Sverige, det får du rätta mig om jag har fel. Jag har hört att det finns olika typer av scams där du flyttar telefonnummer eller säger att du har blivit av med din telefon. Scammen anmäler att telefonen är försvunnen så du får ett nytt simkort utskickat Eller de flyttar telefonnumret till ett nytt sim och därav då får de ju till, eftersom Det finns inget lösande och ingenting så skickas ju allting till telefonnumret liksom. Det är ju simswapping du pratar om och ja, det finns flera sådana typer av attacker, simswapping är en av dem, sen ett annat är till exempel att man ringer till sin operatör och kan berätta de här hemliga tricken men Att du ringer till. din operatör och säger Så här, jag har glömt min telefon hemma kan du koppla om alla samtal till den här telefonen istället till min kollegas telefon. och sen är det ju ganska många tjänster som har möjlighet att ringa upp din telefon och berätta en kod istället för att du får den via sms. Mm. Och har du då gjort en koppling För röstsamtal hos din operatör, då kommer du samtalet att skickas till någon annan så att säga. Så ja, det finns de här tricken Men jag skulle ändå säga att Det kräver ju också mycket jobb och väldigt specifika personer och väldigt specifika Alltså det är spearfishing deluxe. Ja, Det är ganska riktat det där, måste jag säga. Så är det ju. spearfishing i ett akvarium liksom. Så ja, jag känner att... Att vi måste hitta ett annat sätt för att identifiera oss för att få tillgång till Det vi vill ha. Som du säger, att få en länk skickad till din mail eller en sån här autentiseringsapp där du ska fylla i ett kod. Mm. Du har registrerat dig här, Nu... vill du komma åt dina biljetter eller din streamingtjänst. Du loggar in på Spotify eller din tv som du snackar om. Och så behöver du göra en sak till för att validera att du är du. Mm. Det är väl ganska bra. Och det kan ju vara någonting. Vi kommer ju komma på något bra sätt där. För alla sätten som vi har idag finns det någon form av risk med. Men det är ändå bättre än våra lösnål. För de är ju kassa. Där räcker det. Det vet vi. Det är därför vi har MFA och massa annat. Jag har en fråga jag vill ha svar på. Det är ett helt annat ämne. Go for it. VPN. Ja, mycket gemene man VPN idag när vi har HTTPS och säker DNS och så vidare? bra fråga tycker jag. Jag är en av dem som säger såhär, nej alltså VPN är bra i vissa fall Men i vissa situationer till exempel att du är ute på tjänsteresa och du kopplar upp dig på hotellwifi eller något liknande. Ja, men använd VPN då. Det är väl helt okej faktiskt. VPN används bra när du är ute och reser och förflyttar dig ganska mycket. Men sen när du sitter hemma och bara sitter och surfar. Nej, då behöver du inte ha VPN. Det är inte att vi ska dölja våra IP-nummer och sådana grejer. Då använder du för att du håller på med något som är olagligt Så är det ju bara. Du laddar ner filmer eller vad som helst. Du gör någonting som inte är bra. Därför vill du dölja dig. Fine. Kör VPN då liksom. Eller sluta upp och hålla på att göra olagliga grejer. Det är där alternativet. Men VPN är ju bra när du är ganska mycket på resande fot. Och förflyttar dig mycket. När du inte är hemma på dina eller på kontoret. När du inte är på det nätverket som är... Som du kan lita på. Men är det för att skydda mig på nätverket eller är det för att skydda till exempel företagsdata då? Om jag är som privatperson ute och reser, behöver jag om jag loggar in på ett offentligt wifi-nätverk använda en VPN eller bör jag göra det? Ja men det är ju så här, det du ska använda VPN för är att du ska få tillit till kommunikationen mellan de sajterna som du vill gå till. Så att om du går till google.com då vill du veta att det är google.com du går till och då ska ju VPN också vara konfigurerat så du har din DNS-server via VPN så du inte använder den publika VPN DNS-en som hotellet tar eller liksom där du är på. För då kan du fortfarande peka dig någon annanstans. Så VPN-et ska ju liksom vara en isolerad nätverksanslutning där all form av nätverksbeslut ska gå via VPN-et i så fall för att den ska ge den tryggheten du har. Annars så får du bara en krypterad tunnel. Då kanske inte någon kan avlyssna trafiken men vi använder ju HTTPS och SSL överallt Mm. men det är bra att bygga en form av kapsel runt din dator när du är på resande fot. det är ju inte dumt använda VPN men du skulle nästan lika gärna kunna koppla upp dig på din mobiltelefon och köra roaming däremellan Det hade haft ungefär samma effekt. Do you walk the talk själv? Ja! När du är ute och reser vad gör du då? Vad är din setup? setup är att jag har två stycken VPN-provider som jag använder. Den ena är en tjänst jag har köpt som jag har en klient på min dator och på min telefon. och den andra är VPN till mitt hemmanätverk. Så jag har två stycken som jag kan använda. Så absolut, det gör jag. du kommer till myndigheter och teknikjättar som sköter din data och så vidare, hur brukar du tänka där? Ehm eller vad är din gräns Det beror ju på. Vissa uppdrag är uppkopplade på kundens gästnät och det ser jag på samma sätt som om det skulle vara ett hotellnät. Ibland har jag inte min vanliga dator med mig utan jag har en burner-dator som jag har när jag är ute och gör uppdrag som sedan installeras om. hela tiden. Den gör Det inte särskilt mycket. det finns ingen data där. Jag kallar det väl en konsultdata. Jag gör ju en massa hackinggrejer. Då har jag hackingverktyg som körs på den datorn i olika virtuella maskiner och så vidare. Det är inte samma dator som jag sitter och kollar min jobbmejl på eller som jag sitter och gör bokföring eller sitter liksom med kunddata utan det är en annan dator som installeras om beroende på uppdraget och så vidare. så jag har två olika datorer som jag jobbar på då och sen har jag då VPN som jag använder på publika grejer om det är något specifikt jag ska göra då. Den här burner-datorn, Nå det är ju här. blir den nya. ha ha Det är ju den där. Den bitlocker-låsta Exakt, den ser bränd ut. den söntens jag kan logga in i den. Men det Linux du brukar rulla då? Jag har Windows och sen kör jag Linux i VM-ar. Men nu blir det nog tvärtom. Det blir Linux och Windows i VM-ar istället. Hehehehe det är så det är. finns det färdiga VM-ar? Annars tänker jag att det är så fruktansvärt mycket i olika programvaror och grejer att det tar sån tid att sätta upp dem här. Eller är jag gör ju en det är därför jag är lite upprörd Av att den har ballat under För jag har ju en VM Här är basen för mina pentests Jag bara spinner upp en ny Med den här basen Där har jag de här verktygen Rätt konfiguration Rätt liksom det jag menar. Det är inte som att starta upp en ny Windows-maskin Nej, så de där VM-erna var komfade så jag får göra om det igen. Men det gör ingenting. Det är lite roligt också. Det tycker jag är kul. Det är Finns lite att nästan lika roligt som att spela in podd mer. Nästan. Ändå Nästan Nästan vilken vem ligger högst där på den Ni ligger högst. Det Nästan. lika roligt. Det Ruben då ska vi också Vi kan också se det Det är nästan lika kul som att Installera om en dator att vara med Installera om en dator Det är nästan lika kul som att vara vi pratar om här nu är en riktig nörd så för honom är det ju lyckligaste stunden Ja, det är sant. kan det vara men det kanske är ungefär som att fråga en kock om det är kul Att skala potatis Det är kul att laga mat Men inte skala potatis jag tar emot komplimangen Tack, vi tar det. Det så lite så. Halv diss Men du har gjort en del pentest och jag förstår att du kan inte avslöja företag och så vidare, men vad är din bästa historien från ett av pentesten du har genomfört det här gick sjukt snett eller det här såg inte komma eller det här gick inte alls du behöver ju inte säga företag och så vidare Om jag har ett par stycken riktigt riktigt roliga historier faktiskt som jag skulle kunna prata om. Det ena var det var att Penthouse det var en webbapplikation som Var redan pentestad Av ett annat företag Så kunde vara ganska nöjd Men vi har redan gått igenom ett pentest Allting såg bra ut så satt vi och kikade på den här appen och man började direkt hacka applikationen i sig. Bara gå på och leta efter SQL-injektioner och ACL-er och olika typer av authentication bypass. Och titta på om man kan förstöra och ta sönder applikationen på något sätt. av en slump så snubblade jag över... ett par tredjepartsbibliotek som jag. såg bland källkoden när man gjorde en sån här view source i HTML-delen. Men vänta lite. Här är ju faktiskt en massa tredjepartsbibliotek som också är applikationer använder sig av de här biblioteken. Och så gick vi ut och kollade Och så bara, men vänta lite. Den här specifika ...versionen för det här biblioteket är sårbar mot en Remote File Upload. Och vi bara, oh my god, okej det här är sjukt sexigt. och då lyckades vi faktiskt få till en Remote File Upload och kunde få ett webbkäll på webbservern. Och via det kället kom åt hela maskinen och därifrån var det totalt game over för det bolaget Och den var ju ganska kul faktiskt. Det tyckte jag var, det var du Stolt Då var jag stolt och det som gjorde mig mest stolt var faktiskt att jag var mentor för ett par personer som skulle vilja lära sig pentesting. så det de som fick utföra allt det här. Så jag var egentligen bara mentor för dem i det här testet. Så de fick ju själva hitta de här vägarna men Att kunna vägleda från början på ett pentest där det såg ganska mörkt ut till att totalt komma över alltihopa det var en väldigt trevlig grej faktiskt Mm. du? i slutändan det handlar egentligen bara om att vara kreativ nog och hitta vägen. jag letar rätt det är så lätt att man fastnar på de här Traditionella grejerna som man lär sig i böcker eller ser i Youtube-videos eller vad det nu hittar du en parameter ska du gå på den här parametern och så glömmer man bort sådana här grejer Mm, ja. resan som var så kul att se. Okej vi börjar, vi hittar inte så mycket. Vi sitter med smågrejer och så här. Till att bara, oj oj oj oj oj oj oj oj. oj. Och där oj oj så där exploderade det typ. Det var en kul grej faktiskt. Det var roligt. du gjort mer fysiska pentest också? För Det här känns som att man skulle kunna göra remote. Det har jag, men det vet jag inte riktigt om jag kan berätta riktigt. Men för att göra en lång historia kort i det här fysiska testet. Han som beställde pentestet var liksom såhär, vi måste börja med ett fysiskt byte för att se om du kan ta dig in i byggnaden. Mm. det är dag ett så möter jag han i trappan upp till kontoret Själva kontoret Där man inte ska gå om du inte är anställd Där möter jag han Vi möter varandra och bara nickar på varandra Medan jag är inne i kontoret Då fattar han ju att det tog tre sekunder Mm. Skånepojken att ta sig in Man såg han var nöjd men det var också game over Samtidigt Okej välkommen in Du får ta kaffe om du vill Ja. Han var Det jag trodde Han ville ju inte visa riktigt att jag inte skulle vara där heller, så han fick ju bara spela med helt Ja, så är det ju. Men när du ska göra ett pentest, vad är setupen? Det är liksom ett fåtal inom bolaget som känner till det. Alltså oftast har man ju en beställare, du har ju någon som Liksom köper pentest. och så köper själva den tekniska granskningen eller vad det är Jag tycker ju om att arbeta tillsammans med kunderna för att man ska maximera värdet av ett pentest. Än att jag ska sitta till exempel och gissa mig hur en applikation fungerar. Att jag ska spänna tid på att förstå någonting är dumt när jag Bara kan sitta tillsammans med en kollega då som jobbar på alltså en kund då och sitta och så här förklara för mig hur det här funkar visa mig källkoden, gör det här för att Slutresultatet ska ju vara något som kunden har värde av det ska ju vara att hitta så mycket problem och risker och verifiera säkerhetsfunktioner i den här applikationen eller infrastrukturen eller vad man nu vill testa för någonting Så jag tycker om att jobba med kunderna för att det här ska ske och sen tycker jag ju om konceptet Assume Breach, det är att vi spolar i i tiden i testet för att liksom att Att säga såhär, du har en vecka på dig men du ska försöka hacka dig utifrån så du ska skicka phishing-mail och du ska gissa vad lösningen är det där är ju en såhär, du beställer ett test som är under en specifik tidsperiod. Men cyberkriminella kommer ju inte att sitta 40 veckor Och sen ge upp. De kommer att attackera när de har informationen. Därför använder vi det här konceptet Assume Breach Att vi utgår från att vi har... Någon form av information, någon form av fotfäste in på nätverket och då hackar vi ifrån Det scenariet istället för att, nej det kanske inte hackar oss och därför är vi säkra nej man vill veta konsekvensen av om någonting händer och där har jag en rolig historie också det här Det vill vi jättegärna ha. Tja. också ett företag som Självklart kan man inte berätta vad det är för Nej absolut inte. men då jobbar Vi ganska scenariobaserat du ska komma åt det här systemet det här systemet och det här systemet jag bryr mig inte om hur du gör för att komma åt de här systemen du ska bara komma åt de här systemen Det känns farligt att säga, jag bryr mig inte. om hur du gör. Nej men det var så här du får hålla på med social engineering mot våra anställda, du får utnyttja sårbarhet, du får gissa lösningar, du får göra lite hur du vill liksom. Men syftet är att du ska komma åt de här systemen. Det är det du ska göra. Och så kommer man åt massa system och så vidare. men det var ett specifikt system. Okej men kommer du åt det där då är det game over. Då är det kört. Det är the holy grail of the holy grail Okej Vad var detta för typ av system? Eller avslöjade jag Nej, jag går inte in på det. Okej nej. Det var ett av de viktiga systemen för den organisationen alla Okej ja. Kommer det åt där så kommer man åt ganska mycket. Då sitter jag med kunden, detta är typ i slutet av testet, det har gått x antal dagar. Min fru för första gången har fått se när jag zonar ut och inte äter Och bara lyssnar på dödstekno och bara totalt zonar ut framför datorn Och hackar dygnet runt. det var i slutet av den perioden, då hade till och med min fru kommit ner och satt alarmen på telefonen såhär, när den här ringer Då går du och äter och går och lägger dig. Drick vatten, gör någonting. För nu är du grått människa, bara skärp dig. Och det roliga är att... Kundens fru hade typ sagt samma sak för han var så engagerad i test, så vi satt skrev med varandra hela tiden, han ville veta hur det hade gått Och hur långt Man hade kommit och då var klockan sent på kvällen kanske elva på kvällen eller något liknande och då sitter vi Och skriver till varandra, så säger han såhär jag måste smyga för min fru får inte veta att jag är uppe hon tycker det har gått för långt och jag bara, ja min fru också hon tycker jag ska gå och lägga mig snart och då var det såhär Känner dig som tonåring igen. var lite som smög mig omkring och smyghackade för jag hade bara några minuter på mig. Då lyckades Jag hacka det här systemet som man absolut inte skulle komma åt. Då skickade jag en bild på inloggningsrutan när jag har loggat in till kunden. Och du vet, så får jag inget svar från kunden. Jag får bara, oj eller något liknande. Så får jag inget svar från kunden. Så går jag in och ska liksom pilla runt på det här systemet och göra massor av grejer i systemet och så bara hittar jag massor av jättemycket intressanta grejer och så tar jag liksom en paus, bara samlar mina tankar, tänker hur ska jag gå vidare nu så försöker jag liksom titta på den informationen igen och då finns inte informationen, då är den borta, jag bara, den var här nyss Jag vet att den var här nyss Och började titta på massa fler grejer Det här, det är något som inte stämmer Och helt plötsligt så bara Connection reset Då de blivit lite utsparkade från systemet Så då började de åtgärda sina problem Under tiden jag var inne och testade Det där är inte okej Det är fan fulspel alltihopa Det får man inte göra Så då har man liksom såhär okej 1-0 till dig, men det räcker nu. Nu är testet slut. Du får avsluta ditt Att de bara så mittifrån ingenstans bara bör... Nej, du har nått för långt trots att det var det du skulle göra. Ja, de kände såhär Vi har fått ut det vi vill få ut av pentestet Det var bra, grymt jobbat Men det räcker nu Jag vill ju se hur långt jag kunde komma efter det steget Sen också bara Kolla, nu fick jag tillgång till det här systemet Men nej det ville inte kunden De tyckte såhär, vann Nu pausar vi och vissa kunde det här är ett kul uppdrag när det är så när det är så scenariebaserat kör på och så är de engagerade de följer med de är med och lär sig av hur jag gör och vad jag hittar det är ju ett fantastiskt kul uppdrag det så man vill att det ska vara för att det var de gav mig verkligen Fullt bara kör bara gör vad du vill vi är med dig hela vägen, vi vill hitta allt som går att hitta och det var ju några grejer jag lärde mig så svinmycket under det testet själv jag kom inte åt den här informationen Kan jag utnyttja den här informationen på något smaskigt sätt? Och så får man själv gå ut och googla och läsa på och göra research under pentestens gång. Och det är de absolut roligaste testen när man själv bara... Ja men vänta lite, jag läser den här grejen eller grottar ner mig i det här. Och så kommer man på någonting och så funkar det. Och så bara... Fattig liksom. Det är sjukt roligt måste jag säga. låter ju svinkul. Det känns som att du har en liten annan approach. För i vissa fall är det bara... Ta dig in. Kör här, vi är två stycken som vet om att du gör det här och så risken är att du åker dit utan bomben och så får du visa upp något kontrakt på att du och jag hade ändå tillstånd att göra det här liksom men det känns ju som att man kan du får helt andra möjligheter att hitta andra typer av buggar när du jobbar på det sättet tillsammans med dem och andra typer av hål Ja, för att... det. beror också på vad kunden vill få ut av det. Vissa kunder de köper bara en rapport. De vill bara ha en rapport för att det är någon annan som säger att det är ett krav på att ni ska göra pentest en gång om året. Och då vill de bara ha rapporten för att de ska leverera det här till kunden eller ledningen eller någon certifiering eller vad det nu kan vara för någonting. Medan vissa kunder är så här att. Vi vill veta allt. Vi går bakom dig, vi håller dig i handen bara kör. Och jag tycker det är så kul för det jag gör lär jag ut till kunderna som är med. Vad ni ska kunna göra det här själva utan att anställa mig om ett år. Det här ska ni kunna göra utan mig. Så häng med, titta på vad jag gör så att ni kan göra det här själva det första du kontrollerar det. här gör alla fel det här är den lägst hängande frukten när du kommer in det det är ju lösenordet. Det är ju det. Ja, det beror på vad det för typ av test, men typiskt som det vi pratar om internt Assume Bridge, där ett löser dem. om man då tar vilket företag som helst, säg ett företag, vi hittar på ett fiktivt bolag Så, okej Det heter Kallekula AB Kanske det finns något som heter Kallekula AB Det vet inte jag, det heter whatever Spelar ingen roll, vi bara hittar på bolaget AB Då är det så här, man vet att Många sätt, de här sommar 2020, de vet man. Men sen är det också bolagets namn med versal i början och sen ett åtal och ett utropstecken i slutet. Man bara vet att om jag bara hittar ett konto, för det är det som är så coolt när man hackar internt. När det är Active Directory, Microsoft-miljö, hittar du ett konto Som fungerar Som är legitimt även om det är ett helt lågprivilegiet konto så med det kontot kan du dumpa ut svinmycket information från Active Directory så att har du ett konto som fungerar på nätverket så kommer du komma åt asmycket information och det är där det brukar börja att du ska få tag på ett konto som är legitimt på nätverket och det kan ju vara att du går ut och löser någons dumpa på Dark Web du går ut och gissar de här du kan ju vara att du sniffar passivt eller du pratar med olika interna system för att se om de läcker några användarnamn eller läcker några lösningar eller något liknande. Men på något sätt ska du få ett konto som du kan använda för att autenticera mot andra tjänster. Det är liksom steg ett. Men är finns det en massa metoder för att göra det såklart men det är liksom anledningen till de här förbannade byta en gång i kvartalet ordrarna på lösenord för att sådana som du inte ska kunna hitta ett aktuellt lösenord ute på nätet dumpat någonstans Det är nog hela konceptet med password reuse att man ska byta överallt men Jag är lite emot att byta lösenord hela tiden. Varför Jo tack, det ställer bara till en massa bekymmer. Hellre ha ett bra lösenord som du kan hantera än jobba på andra sätt. Unika lösenorder. Det pratade vi också om förra gången. Det behöver vi inte prata om Jajamän, Jajamän, Att gå på identitet. Vi behöver inte prata lösning. Vi behöver prata identitet på nätverket. Jag behöver vara en identitet. Så det är mitt sätt att få tag på en identitet på något sätt. Mm, Och sen applikationer Jag lärde mig ganska mycket av det här tredjepassbiblioteket med de här personerna som jag vägledde. Det var också en stor lärdom för mig själv faktiskt. Oj, Det där var ju jäkligt smaskigt Det ska jag ta med mig till alla framtida pentester med. tycker detta är så intressant För det ditt fall Försök att attackera Försök att hitta vägar in Och försök liksom I vissa fall då håll Men Det är inte bara att väga in, Andreas. det är också så här, som vi var inne på innan Att lära sig av det och teppa såklart Ja, men att kontrollera konsekvenserna. Om någon kommer åt att använda namn och lösning till en anställd vad kan den personen göra då? Vad kan man göra med om jag hittat ett lösenord på Darkweb? Vad kan jag göra med det då? Vad händer om jag, som nu är du en säljare eller du jobbar på HOA. Du har olika rättigheter beroende på vad man jobbar med. Nu låtsas vi att du får tillgång till den här personen Vad kan du åstadkomma då och så spelar man det scenariot och ser hur långt man kan komma då Jobbar man på ett bolag så finns det ju ett x antal och du säger att oavsett vem du får tag på så kan man plocka ut ganska mycket ur Active Directory. Vad är då anledningen till att man låser ner användarprofiler och så vidare? Så att du har väldigt nedlåsta och vissa som kanske är local admins och så vidare. Jag kommer ju bara åt på en sån här superadmin då är det liksom... Då är det Legoland för dig. Alltså både och. Man har ju olika rättigheter. Även om jag kommer åt en användare som är legitim. Jag kan ju bara hämta ut. En sak som jag kan hämta ut till exempel. Det är alla andra. Användare som finns i systemet. Vilket då gör att det blir mycket lättare för mig att till exempel gissa lösenord för att jag vet vilka användarnamn som finns i systemet. Jag har inga lösenord, jag har ingenting, men jag vet i alla fall vilka användarna som finns. För att om du tar ett företag, loggar du in med Andreas.Monsson eller loggar du in som Andreas M eller loggar du in som Andreas, vad är ditt användarnamn, hur ser det ut, hur är strukturen för användarnamn med ett legitimt användarnamn så kan jag dumpa ut det här och få, ja Okej här är en lista på alla användarnamn, sen kan man börja göra attack utifrån det då som sagt. Okej. Ett annat test som vi också gjorde, det var också ett svindelhulligt test. Det var så här, då blev vi Domain Admin som vi säger. Då blev vi liksom, vi fick högsta behörighet. Men de hade EDR-lösningar så de hade ju liksom antivirus och EDR, endpoint detection, som blockade våra... Våra försök att till exempel plocka ut alla krypterade lösenord från Active Directory. vi kunde inte göra det för att de hade säkerhetsmjukvaror som blockade den kända attacken. Då fick vi hitta en ny attack för att kunna komma förbi deras EDR. Då var det så här där hittar vi någonting snyggt. Så den har vi faktiskt rapporterat till den leverantören att det var ett problem. Så där hittade vi en bugg i... Bugg under pen-testet. Okej Är Det så att du kan få ut en bounty-system eller är det mer för goodwill? Det var för goodwill. men det skulle definitivt vara världen bounty. Oj! Ja, ja, men det är jag med hundra procent. Men det är såhär, alltså, jag vet inte om jag, jag vet inte om jag bryr mig om det riktigt, men ja, för mig var det bara ett roligt såklart. Har du någonsin provat bara för skojskul att hacka någonting och hittat någonting du har skickat in i ett bounty-system? Jag har flera gånger skickat in massa till Bug Bounty. Det var ett svenskt företag Vi skämtade om det för jag kände säkerhetschefen på det företaget. Då hittade jag en bugg. Så skickade jag den till honom istället Han bara, du måste skicka dig in i Bagbanty-plattformen Annars får du inte betalt. Jag bara, jag pallar inte. Jag åker inte. Så kom han tillbaka Någon månad senare. Vi har kollat på det du skickade. Den var faktiskt legitim. Hade du skickat in dig i Bagbanty-plattformen. Så hade du fått utbetalt pengar. Men nu gjorde du inte det. Så sorry for you. Hehehehe Doing it for the love Ja, så det är konstant skämt när vi pratar att han är skyldig mig i glass och fika och allting för att jag drar det av bounty-pengarna Ha ha ha han borde ha betalat Så jag har alltid någonting innestående för ha ha ha ha ha ha Mm är bra. Man ska ha sånt också. det är roligt. Säkerhetsbranschen är väldigt rolig i så sätt för att det är många som har jobbat väldigt länge som man kan ha väldigt roligt med. Det är ju en nischad bransch som inte heller kan vara orimligt stor i Sverige och i angdammen är ju Ja. bransch Det är verkligen så. Alla känner alla. Mm. Men när man jobbar i en så liksom, nu kanske majoriteten av attacker och sånt har du varit med och fått hantera när det har skett en attack, alltså fått sitta på andra sidan? Mm. Ja, flera gånger faktiskt. Massa utredningar har suttit i. Och även gjort forensiksarbete. Och den här maskinen, om det blir hackat kan du ta reda på vad som har hänt och så vidare. Visst har jag gjort det. Det är ju den andra sidan av myntet är att få jobba på försvararsidan. Där jag jobbar idag till exempel, vi har ju både pentester men vi har också en stor avdelning med sockanalytiker och instrument response och så. Så absolut får jag det. Är det det är ju det som går ihop. Alltså det är det. var med under någonting som heter Lock Shields som är en stor NATO-övning som drivs tillsammans med Försvarsmakten här i Sverige. Där man tävlar liksom i cyberförsvar kan man förklara väldigt enkelt. Och Och jag var den som var teamlead för pentestavdelningen i försvararlaget För man har liksom ett försvararlag och så har man ett rött lag som hackar då. så jag ledde pentest i försvararlaget Och då är det många som tänkte Så här, men varför har man ett pentestteam i ett lag som ska försvara? Varför har man liksom... Hur går det ihop? du kan inte hacka och försvara samtidigt. Jo, för att de som ska bygga själva försvaret, de Som ska konfigurera servrarna och bygga playbooks och konfigurera webbapplikationer och så vidare de måste ju veta vad de ska skydda sig emot. Då var vår uppgift att hacka internt för att berätta att de här problemen finns eller som sagt verifiera den playbooken som du försökte applicera nu Saknar den här grejen eller nej den funkar superbra att vi som hackare blir den typen kontrollfunktion så att ja det är viktigt att man gör både och för att du kan inte bara ha försvarare utan att ha attackerare, du måste ha både och för att de som försvarar måste veta vad de ska försvara sig mot om den svenska cybersäkerhetsbranschen är ganska liten, kommer alla attacker från hela världen? Eller ser ni specifika aktörer som ni ser gång på gång på gång som återkommer att det här med emot känner jag igen? Så är det ju definitivt att det finns vissa aktörer som återkommer Man kan se artefakter i kod, man kan se språkval, man kan se vissa funktioner som återanvänds även om själva koden har blivit ändrad. Den här krypteringsfunktionen är exakt samma funktion På de här tre Mm. kodbasen Nu är det även i den fjärde också. Det betyder att någon har haft tillgång till själva källkoden i alla fall och kunnat kompilera det här. Så ja, det är väl klart att man ser attacker som kommer från samma typ av grupp eller organisation. Att kunna avgöra var de grupperna och de organisationerna faktiskt kom ifrån rent geografiskt det blir lite svårare. Men där kan man ju Börja beta in sådana här motiv man kan beta in andra grejer så ja, det är klart att man ser att vissa återkommer, så är Mm. Coolt det finns kändishackare. Man vet inte vilka Ja men det gör det ju det är ju klart att det är både goda och onda såklart det finns ju och det som är lite coolt att det börjar bli en grej av det här med bug bounty det är stora events i I Las Vegas där de har stor skylt hur mycket pengar varje team har tjänat in och så vidare vi har tre stycken svinduktiga bagbandespelare i Sverige bland annat Frans Rosén, Mattias Karlsson och en kille som heter FLA Mm, Fredrik Silverskär som är skitduktiga så de de är duktiga coolt. det finns fler men just Mattias Karlsson och Frans Hossein är ju ganska kända så duktigt folk. All right. Jag tror att vår tid börjar rinna ut. Om man vill hitta dig på nätet vad hittar man dig då? Alltså min Facebook är ju för mig själv Den är lite privat Men LinkedIn, jag har ju Instagram också Jag har ju X Men jag postar aldrig någonting på X Så det är väl, jag skulle väl säga Instagram och LinkedIn Sälja HälsLinkedIn Tror jag LinkedIn. Och finns det någonting du skulle vilja passa på att plugga när du ändå har... lite tecknader på linjen? Nej men det gör jag inte. Jag vill inte marknadsföra någonting. Okej. Marknadsföra er podd Den är ju fantastisk. Köp mig. Gå till mina kärnäven det gör inte. Ni gör ett fantastiskt bra jobb grabbar. Fortsätt med det ni gör Skulle jag väl liksom marknadsföra någonting så är det väl kanske Vissa typer av intresseorganisationer som Childhood och Hackshield som gör bra i världen. Försöker använda teknik för att göra livet bättre för så många som möjligt. All right. Tack så jättemycket för att du ville vara med. Det har varit superkul ha dig Tack så jättemycket. Toppen! Tack så hemskt mycket för att jag fick vara med. Det är våran ära. Om vi har sagt något märkligt och man vill tipsa om framtida gäster eller ämnen så kan man mejla till kackteck1gmail.com eller skriva till oss på Valfri social media. Vi finns på de flesta förutom X faktiskt. man lyssnar på den här podden så antar att man lyssnar i sin favoritpoddspelare. ska man inte glömma bort att prenumerera för att inte missa framtida avsnitt. när man ändå är inne... Lämna gärna en recension eller ett betyg eller en tumme upp beroende på vad din poddspelare tillåter. Vill man stötta podden så gör man det via buymeacoffee.com slash cacktech genom en donation. Eller så använder man en av våra Amazon-affilier i ett länkar. Då får vi. en liten kickback. Det kostar ingenting extra utan det är en liten kickback från Amazons vinstpåse. Jag tror att Jeff Bezos har tillräckligt med raketer. Så är det med det. Med Det sagt så säger vi tack för denna veckan och så hör ni mig och Ruben tillbaka igen om två veckor på samma tid, samma plats, samma kanal. Det gör vi. Ha Ha det!