< Return to Video

Ethical hacking, good intentions and questionable outcomes

  • 0:00 - 0:30
    Alkumusiikki
  • 0:30 - 0:34
    Tervetuloa kaikki
  • 0:34 - 0:36
    Tämä on minun ensimmäinen kerta CCC leirillä
  • 0:36 - 0:39
    Onko jonkun muun ensimmäinen kerta myös?
  • 0:39 - 0:40
    Joo!
  • 0:42 - 0:44
    Hyvä meille uusille!
  • 0:44 - 0:47
    Ajattelin, että tämä aihe
  • 0:47 - 0:53
    tavallaan hyvä tälle leirille ja minulla
    on video seuraavaksi, jossa on musiikkia
  • 0:53 - 0:58
    joka ainakin on hyvä tälle leirille
    ja se liittyy tavallaan aiheeseen.
  • 0:58 - 1:05
    Joten ajattelin näyttää sen. Katsotaan voidaanko me saada se soimaan.
    Toivottavasti Wi-FI toimii ja voimme saada sen näkymään
  • 1:05 - 1:14
    Se on pääasiassa hyvin vanha mainos, jonka minun kaltaiseni hyvin
    vanhat ihmiset ja muut kaltaiseni vanhat ihmiset tunnistavat.
  • 1:14 - 1:15
    Katsotaan
  • 1:17 - 1:19
    Saammeko ääntä?
  • 1:28 - 1:31
    Saimme ääntä testatessamme.
  • 1:31 - 1:35
    Mutta se on ”Et varastaisi autoa”
    - yksityisyyskampanja.
  • 1:36 - 1:37
    Et varastaisi polkupyörää
  • 1:37 - 1:40
    et varastaisi
    käsilaukkua, et tekisi sitä ja tätä.”
  • 1:40 - 1:44
    Siinä oli todella hyvää musiikkia,
    joten harmi, että se on
  • 1:44 - 1:48
    Jos joku voi beatboxata juuri nyt,
    siitä olisi apua.
  • 1:55 - 1:58
    Oliko tuo sika beatboxaamassa?
  • 1:59 - 2:00
    Hyvä yritys kummiskin
  • 2:00 - 2:04
    Koska puhumme etiikasta
  • 2:04 - 2:08
    Koko kampanja koski lähinnä sitä,
    ettei autoa varasteta.
  • 2:08 - 2:10
    ja yksityisyys on rikos
  • 2:10 - 2:12
    Mutta sitten joku internetissä sanoi.
  • 2:12 - 2:17
    ”No, minä ehkä lataisin auton,
    jos omistaja saisi pitää auton.”
  • 2:18 - 2:22
    Joten se olisi tavallaan eettistä,
    ja se olisi tavallaan okei luulisin
  • 2:23 - 2:29
    Kuinka moni täällä lataisi auton?
    Joo, aika monta.
  • 2:32 - 2:39
    Okei, aloittaakseni tästä eettisestä
    aiheesta, hakkerit työskentelevät
  • 2:39 - 2:45
    toisinaan erikoisilla aloilla.
    Joten joskus mennään siis lain
  • 2:45 - 2:48
    rajoilla ja niin edelleen.
  • 2:48 - 2:53
    Ajattelin siis esitellä teille lyhyen
    versioni hakkereiden etiikan kehityksestä
  • 2:53 - 2:55
    sellaisena kuin te sen tunnette.
  • 2:55 - 2:59
    ja tämä on tapahtunut jo
    ennen minun aikaani
  • 3:00 - 3:02
    se oli kuin 60-70-luvuilla
    kun tietokoneet alkoivat
  • 3:02 - 3:10
    yleistyä hakkerit tekivät
    kaikenlaista näillä tietokoneilla.
  • 3:10 - 3:14
    mikä ei vielä ollut kaikkien saatavilla.
  • 3:14 - 3:21
    He kävivät läpi vaiheen, jossa
    heillä oli hakkeri-etiikka.
  • 3:21 - 3:25
    Eräs kaveri kirjoitti kirjan
    Richard Stallman
  • 3:25 - 3:30
    jota pidetään viimeisenä
    todellisena hakkerina.
  • 3:30 - 3:32
    Sanoi etiikasta kirjassa näin
  • 3:33 - 3:37
    Hakkerin etiikka viittaa oikean ja väärän tunteisiin,
  • 3:37 - 3:41
    eettisiin ajatuksiin, joita tällä ihmisyhteisöllä oli
  • 3:41 - 3:44
    siihen, että tietoa pitäisi jakaa
    muiden ihmisten kanssa
  • 3:44 - 3:46
    jotka voivat hyötyä siitä
    ja että tärkeitä resursseja
  • 3:46 - 3:49
    pitäisi käyttää eikä tuhlata.
  • 3:50 - 3:54
    ja uskon, että monet meistä
    voivat seisoa tämän lausunnon takana.
  • 3:56 - 4:01
    myös ”hakkereiden etiikka” voidaan tavallaan
    tiivistää tuohon aikakauteen siten
  • 4:01 - 4:07
    poikkeuksellinen määrätietoisuus ja
    päättäväisyys jatkaa ongelman
  • 4:07 - 4:10
    ratkaisemista, kunnes
    optimaalinen ratkaisu on löydetty
  • 4:10 - 4:13
    ovat hyvin dokumentoituja piirteitä
    varhaisilta hakkereilta. Halukkuus
  • 4:14 - 4:17
    työskennelläläpi yön
    yksittäisen ohjelmointiongelman
  • 4:17 - 4:21
    parissa mainitaan usein varhaisen
    hakkeritietokonekulttuurin piirteinä.
  • 4:22 - 4:26
    Kuka täällä on viettänyt kokonaisen
    yön selvittääkseen ongelmaa
  • 4:27 - 4:29
    Okei. Aika moni
  • 4:29 - 4:33
    Voitte siis myös pitää itseänne
    varhaisina hakkereina
  • 4:34 - 4:37
    tietyllä tapaa
  • 4:37 - 4:41
    ja sitten kun menemme hieman
    pidemmälle, ehkä 80-luvulle
  • 4:41 - 4:45
    asiat alkoivat muuttua
    ja siellä alkoi olla tavallaan enemmän
  • 4:45 - 4:49
    Etiikka alkoi ehkä hiukan lipsua enemmän.
  • 4:49 - 4:53
    oli jotain valkoisen hatun ja
    mustan hatun juttuja tekeillä
  • 4:53 - 4:57
    90-luvulla. There started to be a
    bit more of a divide
  • 4:57 - 5:01
    Rajat alkoivat jakautua ja
    ihmiset alkoivat joutua vankilaan
  • 5:01 - 5:04
    rikollisista teoista eli mustat hatut
  • 5:04 - 5:07
    ja valkoiset hatut ja mustat
    hatut alkoivat erota toisistaan.
  • 5:08 - 5:13
    ja hakkerimanifestin kirjoitti
    mentoriksi kutsuttu kaveri
  • 5:15 - 5:22
    Hänen julistuksensa tuossa
    manifestissa on pohjimmiltaan se, että
  • 5:22 - 5:26
    tämä on meidän maailmamme nyt
    elektronin ja kytkimen maailma
  • 5:26 - 5:32
    baudin kauneus Käytämme jo olemassa
    olevaa palvelua maksamatta siitä
  • 5:32 - 5:34
    mikä voisi olla halpaa,
    jos sitä eivät pyörittäisi
  • 5:34 - 5:38
    voittoa tavoittelevat mässäilijät
    ja te kutsutte meitä rikollisiksi
  • 5:38 - 5:41
    Me tutkimme, ja te
    kutsutte meitä rikollisiksi.
  • 5:41 - 5:44
    Me etsimme tietoa, ja te
    kutsutte meitä rikollisiksi.
  • 5:44 - 5:46
    Se on siis enemmänkin
    hacktivismin kaltainen
  • 5:46 - 5:51
    kaiken tiedon ja kaiken
    datan vapauden aikakausi.
  • 5:53 - 6:01
    ja sitten tavallaan yhteenvetona
    tai palataksemme takaisin nykypäivään
  • 6:01 - 6:07
    Tänään meillä on tavallaan
    meillä ei ole oikeastaan näin
  • 6:07 - 6:11
    selviä kirjoja, mutta meillä on joitakin
    kirjoja, mutta
  • 6:13 - 6:15
    ainakaan minä, joka
    työskentelen tällä alalla
  • 6:15 - 6:23
    en törmää kovinkaan moniin eettisiin
    lausuntoihin ja vastaaviin asioihin
  • 6:23 - 6:27
    joskus olemme saattaneet nähdä eettisen
    hakkeroinnin sertifikaatteja, mutta ne
  • 6:27 - 6:31
    ovat hyvin alkeellisia
    kuten älä testaa ilman lupaa
  • 6:31 - 6:36
    älä ole kusipää älä riko ja varastele
    tavaraa
  • 6:36 - 6:45
    ja niin edespäin ja ne ovat ihan okei
    mutta mielestäni niitä pitäisi olla lisää
  • 6:46 - 6:51
    jotkut bug bounty -alustat, koska
    työskentelen myös bug bounty
  • 6:51 - 6:55
    alustojen parissa Joillakin bug bounty
    - alustoilla on tällaiset käytännesäännöt
  • 6:56 - 7:00
    heillä on sellaisia, että sinun ei pitäisi
    tehdä tätä, sinun ei pitäisi tehdä tuota
  • 7:00 - 7:04
    kunnioita muita ja muita sellaisia asioita
  • 7:04 - 7:06
    älä mene laajuuden ulkopuolelle
  • 7:06 - 7:10
    ja laajuus on eräänlainen rajoitus
    jossa yritykset ja bugipalkkio-ohjelmat
  • 7:10 - 7:12
    että voit testata tätä, mutta et tuota
  • 7:12 - 7:14
    ja sitten joku menee ja testaa tämän
  • 7:14 - 7:18
    ja sitten mitä pitäisi tapahtua?
  • 7:18 - 7:21
    joskus ei paljon
  • 7:23 - 7:31
    Tämä oli siis eräänlainen supernopea
    tausta hakkereiden etiikasta
  • 7:31 - 7:34
    mikä sai minut todella innostumaan
    tästä puheesta, oli
  • 7:34 - 7:38
    viime aikoina näkemäni asiat, jotka
    saivat minut ajattelemaan
  • 7:39 - 7:43
    Okei, ehkä meidän pitäisi keskustella
    enemmänkin eettisistä kysymyksistä
  • 7:43 - 7:47
    tietoturvatestauksen ja erityisesti
    bug bounty -alalla
  • 7:47 - 7:49
    jossa työskentelen paljon
  • 7:49 - 7:53
    ja jos et ole tietoinen bugipalkkiosta
    se on lähinnä tietoturvatestausta
  • 7:53 - 7:57
    palkkiota vastaan. Teet
    siis jonkinlaista testausta ja lähetät
  • 7:57 - 8:02
    raportin yleensä bug bounty -alustan
    kautta ja yritys maksaa palkkion
  • 8:02 - 8:06
    sen mukaan, kuinka vakava ongelma on
  • 8:08 - 8:12
    Jotkin näkemäni asiat koskivat sekä
    tietoturvatestausta että
  • 8:12 - 8:16
    bugipalkkioaluetta, koska sen minä tiedän
  • 8:17 - 8:21
    luultavasti on paljon enemmänkin
    asioita meneillään, mutta nämä
  • 8:21 - 8:23
    ovat asioita, jotka ajattelin
    jakaa kanssanne
  • 8:23 - 8:28
    koska ainakin joitakin niistä ei ehkä
    tunneta kovin hyvin
  • 8:28 - 8:32
    mutta aloitamme todella yksinkertaisia
  • 8:32 - 8:37
    olet testaamassa luvalla ja
    sitten kaadat joitakin palvelimen
  • 8:37 - 8:41
    on luultavasti tapahtunut
    muutamalle ehkä täällä
  • 8:41 - 8:44
    onko se tapahtunut kenellekään teistä
  • 8:45 - 8:48
    Joo, okei muutamalle
  • 8:48 - 8:51
    Näen myös kollegani tuolla
  • 8:51 - 8:55
    olemme tehneet tämän valitettavasti
    melko monta kertaa
  • 8:55 - 9:00
    Ehkä meidän olisi pitänyt tehdä
    enemmän perusteellista tarkastusta
  • 9:00 - 9:04
    Ehkä tietokoneet, joita testasimme,
    olivat jossain luutakaapissa
  • 9:05 - 9:08
    tai se oli raspberry pi, joka ei
    todellakaan pystynyt käsittelemään
  • 9:08 - 9:13
    monia pyyntöjä joten se ei pysty
    käsittelemään mitään automatisoitua
  • 9:13 - 9:18
    ja se vain kuolee
    joten emme oikeastaan palvele asiakasta
  • 9:18 - 9:23
    tai yksilöä, jota testaamme
    eikä luultavasti ketään muutakaan
  • 9:24 - 9:27
    eikä ole mukavaa saada asiakkaalta
    puhelu, jossa sanotaan
  • 9:27 - 9:30
    että olet kaatanut palvelimemme,
    mitä teet, lopeta tekemästä sitä
  • 9:30 - 9:35
    mitä teetkään se ei ole siistiä
    meidän tuotanto on alhaalla ja sitten
  • 9:35 - 9:38
    sitten huomaat, että heidän
    tuotantonsa toimii perunoilla
  • 9:38 - 9:42
    joten sekin on hyvä havainto
  • 9:45 - 9:50
    nyt harmaampi alue asioista, joita olen
    nähnyt viime aikoina
  • 9:52 - 9:55
    Joku pamautti samppanjan ja se on
    hienoa
  • 9:55 - 9:59
    ja olen ottanut käyttöön tämän
    mielivaltaisen gandalf harmaasävyasteikko
  • 9:59 - 10:02
    jotkut teistä eivät ehkä näe
    sitä riippuen siitä kuinka harmaaksi
  • 10:02 - 10:06
    uskon sen olevan, niin gandalffeja
    on enemmän
  • 10:06 - 10:10
    joka edustaa sitä, kuinka harmaata
    tämä toiminta saattaa olla
  • 10:12 - 10:15
    Aloitetaan ensimmäinen
  • 10:16 - 10:20
    tosiaan ensimmäinen näyte tavallaan alkaa
    ensimmäisestä esimerkistä mikä meillä oli.
  • 10:20 - 10:24
    Testaaminen ilman lupaa ja sitten
    palveluiden kaataminen.
  • 10:24 - 10:26
    Annan sille ehkä yhden gandalffin
  • 10:27 - 10:29
    Tarkoitan että se on tavallaan... joo
  • 10:29 - 10:32
    ja joissain tapauksissa se ei ole ehkä,
    edes kovin laillista joissain maissa
  • 10:32 - 10:36
    tiedäthän, et oikein saa testata
    ilman lupaa, joten.
  • 10:37 - 10:40
    Annan sille ehkä yhden gandalffin.
  • 10:41 - 10:45
    Sitten toinen on haavoittuvaisuuden
    yli ryntäystä, ilman lupaa
  • 10:45 - 10:49
    mutta sitten kuitenkin ilmoitat
    kohdeyritykselle
  • 10:49 - 10:51
    esimerkiksi paikallisen
    sertifikaatin kautta.
  • 10:52 - 10:56
    Ja paikallinen sertifikaatti ja
    erityisesti monet euroopan maat
  • 10:56 - 10:58
    haluavat suojella hakkeria yhtiöltä
  • 10:58 - 11:02
    mikäli he haluavat vainota sinua hakkerina
  • 11:02 - 11:04
    joten, ne suojelevat sinua myös yksilönä,
  • 11:04 - 11:06
    jotta sinua ei vainottaisi, koska se on
  • 11:06 - 11:08
    yrityksen virallinen yhteyshenkilö.
  • 11:09 - 11:11
    Annan tälle ehkä yhden gandalffin,
  • 11:11 - 11:13
    ehkä en edes yhtä gandalfia.
  • 11:14 - 11:17
    Ehkä annan hobitin en tiedä.
  • 11:19 - 11:22
    Ja sitten meillä on tämä todella
  • 11:22 - 11:25
    mahtava juttu.....testi juttu ilman lupaa
  • 11:25 - 11:27
    ja kohteen kiristäminen.
  • 11:28 - 11:32
    Palkitse minut tai muuten tapahtuu jotain
  • 11:32 - 11:33
    joku hakkeroi sinut.
  • 11:33 - 11:36
    Se ei ole minä, mutta tässä koko nimeni..
  • 11:38 - 11:41
    Monesti olemme nähneet tämäntyyppisten
  • 11:41 - 11:43
    yksilöiden ottavan yrityksiin
  • 11:43 - 11:44
    suoraan yhteyttä
  • 11:45 - 11:47
    ja sanovat, että heillä on kauhea
  • 11:47 - 11:50
    haavoittuvaisuus joka on hyvin kriittinen
  • 11:50 - 11:52
    sinun täytyy maksaa minulle heti,
  • 11:53 - 11:55
    ja sitten kun alat kysyä okei, mikä tämä
  • 11:55 - 11:57
    haavoittuvaisuus on oikeastaan
  • 11:58 - 12:00
    sitten se kertoo sinulla olevan tiedosto
  • 12:00 - 12:01
    paikassa johon se ei kuulu
  • 12:01 - 12:03
    tai se voi oikeastaan olla
  • 12:03 - 12:04
    tosissaan oikeastaan ei mitään ja
  • 12:04 - 12:06
    haluavat palkinnon siitä
  • 12:06 - 12:08
    Joskus se oikeasti voi oikeasti olla
  • 12:08 - 12:10
    jotain, mutta et oikeastaan tiedä sitä
  • 12:10 - 12:13
    ennen kuin päädyt tähän super ärsyttävään
  • 12:13 - 12:14
    keskusteluun.
  • 12:14 - 12:17
    Yleensä se on melkeinpä spämmi taikka
  • 12:17 - 12:19
    skämmi, jossa he todella yrittävät saada
  • 12:19 - 12:21
    sinut. He saattavat lähettää yhtiön
  • 12:21 - 12:23
    toimitusjohtajalle tämän sähköpostin ja
  • 12:23 - 12:26
    ja he häipyvät vauhdilla, hui jotain on
    tekeillä,
  • 12:26 - 12:28
    eikä se ole kauhean hyvä bisnekselle
    myöskään.
  • 12:28 - 12:33
    Se on myös aika häiritsevää,
    et siis hyödytä ketään,
  • 12:33 - 12:34
    sanoisin.
  • 12:34 - 12:37
    Annan sille yhden ehkä kaksi
    gandalfia.
  • 12:39 - 12:44
    Ja sitten on uusi, todella siisti
    trendi. Marketointi trendi
  • 12:45 - 12:48
    missä testaat ilman lupaa
    sinun todella mahtavaa
  • 12:48 - 12:51
    palveluasi joka löytää
    heikkouksia, jonka jälkeen
  • 12:51 - 12:54
    sitten lähetät sähköpostin
    yritykselle jossa sanotaan:
  • 12:54 - 12:58
    minun todella siisti palveluni
    löysi satoja heikkouksia teidän
  • 12:58 - 12:59
    yhtiöstänne.
  • 13:00 - 13:04
    Tavataan ja pidetään etä-
    palaveri ja keskustellaan.
  • 13:04 - 13:08
    Joten he yrittävät myydä sitä
    sinulle ja yleensä se on,
  • 13:08 - 13:11
    tosiaan siellä on erilaisia
    mittareita kuinka
  • 13:11 - 13:13
    agressivisia he ovat, jotkut
    jotkut heistä ovet todella
  • 13:13 - 13:16
    agresiivisia, jotkut heistä
    voivat esimerkiksi ottaa
  • 13:16 - 13:18
    yhteyttä, kaikkiin
    organisaatiossa yrittääkseen
  • 13:18 - 13:20
    myydä tätä palvelua joka
    heillä on.
  • 13:21 - 13:24
    Me olemme nähneet sen, se
    on todella siisti ja se ei
  • 13:24 - 13:26
    todellakaan tuota sinulle
    ollenkaan myyntiä ainakaan
  • 13:26 - 13:28
    jos otat yhteyden meihin.
  • 13:29 - 13:32
    Mutta joillekin se voi toimia.
    Antaisin tälle ehkä yhden
  • 13:32 - 13:36
    gandolfin, kaksi gandolfia
    riippuen kuinka vähä
  • 13:36 - 13:37
    agressiivinen se on.
  • 13:40 - 13:43
    Ja sitten todella mukava
    trendi jota olemme nähneet
  • 13:43 - 13:48
    viime aikoina. Tässä trendissä ostat
    pimeän verkon varastettuja valtakirjoja.
  • 13:48 - 13:51
    Sitten kysyt yritystä antamaan sinulle
    palkkio,
  • 13:51 - 13:53
    joten he menivät takaisin
    palkkio-ohjelmaan
Title:
Ethical hacking, good intentions and questionable outcomes
Description:
more » « less
Video Language:
English
Duration:
34:37

Finnish subtitles

Revisions Compare revisions

Our website uses cookies for analysis purposes.