-
Alkumusiikki
-
Tervetuloa kaikki
-
Tämä on minun ensimmäinen kerta CCC leirillä
-
Onko jonkun muun ensimmäinen kerta myös?
-
Joo!
-
Hyvä meille uusille!
-
Ajattelin, että tämä aihe
-
tavallaan hyvä tälle leirille ja minulla
on video seuraavaksi, jossa on musiikkia
-
joka ainakin on hyvä tälle leirille
ja se liittyy tavallaan aiheeseen.
-
Joten ajattelin näyttää sen. Katsotaan voidaanko me saada se soimaan.
Toivottavasti Wi-FI toimii ja voimme saada sen näkymään
-
Se on pääasiassa hyvin vanha mainos, jonka minun kaltaiseni hyvin
vanhat ihmiset ja muut kaltaiseni vanhat ihmiset tunnistavat.
-
Katsotaan
-
Saammeko ääntä?
-
Saimme ääntä testatessamme.
-
Mutta se on ”Et varastaisi autoa”
- yksityisyyskampanja.
-
Et varastaisi polkupyörää
-
et varastaisi
käsilaukkua, et tekisi sitä ja tätä.”
-
Siinä oli todella hyvää musiikkia,
joten harmi, että se on
-
Jos joku voi beatboxata juuri nyt,
siitä olisi apua.
-
Oliko tuo sika beatboxaamassa?
-
Hyvä yritys kummiskin
-
Koska puhumme etiikasta
-
Koko kampanja koski lähinnä sitä,
ettei autoa varasteta.
-
ja yksityisyys on rikos
-
Mutta sitten joku internetissä sanoi.
-
”No, minä ehkä lataisin auton,
jos omistaja saisi pitää auton.”
-
Joten se olisi tavallaan eettistä,
ja se olisi tavallaan okei luulisin
-
Kuinka moni täällä lataisi auton?
Joo, aika monta.
-
Okei, aloittaakseni tästä eettisestä
aiheesta, hakkerit työskentelevät
-
toisinaan erikoisilla aloilla.
Joten joskus mennään siis lain
-
rajoilla ja niin edelleen.
-
Ajattelin siis esitellä teille lyhyen
versioni hakkereiden etiikan kehityksestä
-
sellaisena kuin te sen tunnette.
-
ja tämä on tapahtunut jo
ennen minun aikaani
-
se oli kuin 60-70-luvuilla
kun tietokoneet alkoivat
-
yleistyä hakkerit tekivät
kaikenlaista näillä tietokoneilla.
-
mikä ei vielä ollut kaikkien saatavilla.
-
He kävivät läpi vaiheen, jossa
heillä oli hakkeri-etiikka.
-
Eräs kaveri kirjoitti kirjan
Richard Stallman
-
jota pidetään viimeisenä
todellisena hakkerina.
-
Sanoi etiikasta kirjassa näin
-
Hakkerin etiikka viittaa oikean ja väärän tunteisiin,
-
eettisiin ajatuksiin, joita tällä ihmisyhteisöllä oli
-
siihen, että tietoa pitäisi jakaa
muiden ihmisten kanssa
-
jotka voivat hyötyä siitä
ja että tärkeitä resursseja
-
pitäisi käyttää eikä tuhlata.
-
ja uskon, että monet meistä
voivat seisoa tämän lausunnon takana.
-
myös ”hakkereiden etiikka” voidaan tavallaan
tiivistää tuohon aikakauteen siten
-
poikkeuksellinen määrätietoisuus ja
päättäväisyys jatkaa ongelman
-
ratkaisemista, kunnes
optimaalinen ratkaisu on löydetty
-
ovat hyvin dokumentoituja piirteitä
varhaisilta hakkereilta. Halukkuus
-
työskennelläläpi yön
yksittäisen ohjelmointiongelman
-
parissa mainitaan usein varhaisen
hakkeritietokonekulttuurin piirteinä.
-
Kuka täällä on viettänyt kokonaisen
yön selvittääkseen ongelmaa
-
Okei. Aika moni
-
Voitte siis myös pitää itseänne
varhaisina hakkereina
-
tietyllä tapaa
-
ja sitten kun menemme hieman
pidemmälle, ehkä 80-luvulle
-
asiat alkoivat muuttua
ja siellä alkoi olla tavallaan enemmän
-
Etiikka alkoi ehkä hiukan lipsua enemmän.
-
oli jotain valkoisen hatun ja
mustan hatun juttuja tekeillä
-
90-luvulla. There started to be a
bit more of a divide
-
Rajat alkoivat jakautua ja
ihmiset alkoivat joutua vankilaan
-
rikollisista teoista eli mustat hatut
-
ja valkoiset hatut ja mustat
hatut alkoivat erota toisistaan.
-
ja hakkerimanifestin kirjoitti
mentoriksi kutsuttu kaveri
-
Hänen julistuksensa tuossa
manifestissa on pohjimmiltaan se, että
-
tämä on meidän maailmamme nyt
elektronin ja kytkimen maailma
-
baudin kauneus Käytämme jo olemassa
olevaa palvelua maksamatta siitä
-
mikä voisi olla halpaa,
jos sitä eivät pyörittäisi
-
voittoa tavoittelevat mässäilijät
ja te kutsutte meitä rikollisiksi
-
Me tutkimme, ja te
kutsutte meitä rikollisiksi.
-
Me etsimme tietoa, ja te
kutsutte meitä rikollisiksi.
-
Se on siis enemmänkin
hacktivismin kaltainen
-
kaiken tiedon ja kaiken
datan vapauden aikakausi.
-
ja sitten tavallaan yhteenvetona
tai palataksemme takaisin nykypäivään
-
Tänään meillä on tavallaan
meillä ei ole oikeastaan näin
-
selviä kirjoja, mutta meillä on joitakin
kirjoja, mutta
-
ainakaan minä, joka
työskentelen tällä alalla
-
en törmää kovinkaan moniin eettisiin
lausuntoihin ja vastaaviin asioihin
-
joskus olemme saattaneet nähdä eettisen
hakkeroinnin sertifikaatteja, mutta ne
-
ovat hyvin alkeellisia
kuten älä testaa ilman lupaa
-
älä ole kusipää älä riko ja varastele
tavaraa
-
ja niin edespäin ja ne ovat ihan okei
mutta mielestäni niitä pitäisi olla lisää
-
jotkut bug bounty -alustat, koska
työskentelen myös bug bounty
-
alustojen parissa Joillakin bug bounty
- alustoilla on tällaiset käytännesäännöt
-
heillä on sellaisia, että sinun ei pitäisi
tehdä tätä, sinun ei pitäisi tehdä tuota
-
kunnioita muita ja muita sellaisia asioita
-
älä mene laajuuden ulkopuolelle
-
ja laajuus on eräänlainen rajoitus
jossa yritykset ja bugipalkkio-ohjelmat
-
että voit testata tätä, mutta et tuota
-
ja sitten joku menee ja testaa tämän
-
ja sitten mitä pitäisi tapahtua?
-
joskus ei paljon
-
Tämä oli siis eräänlainen supernopea
tausta hakkereiden etiikasta
-
mikä sai minut todella innostumaan
tästä puheesta, oli
-
viime aikoina näkemäni asiat, jotka
saivat minut ajattelemaan
-
Okei, ehkä meidän pitäisi keskustella
enemmänkin eettisistä kysymyksistä
-
tietoturvatestauksen ja erityisesti
bug bounty -alalla
-
jossa työskentelen paljon
-
ja jos et ole tietoinen bugipalkkiosta
se on lähinnä tietoturvatestausta
-
palkkiota vastaan. Teet
siis jonkinlaista testausta ja lähetät
-
raportin yleensä bug bounty -alustan
kautta ja yritys maksaa palkkion
-
sen mukaan, kuinka vakava ongelma on
-
Jotkin näkemäni asiat koskivat sekä
tietoturvatestausta että
-
bugipalkkioaluetta, koska sen minä tiedän
-
luultavasti on paljon enemmänkin
asioita meneillään, mutta nämä
-
ovat asioita, jotka ajattelin
jakaa kanssanne
-
koska ainakin joitakin niistä ei ehkä
tunneta kovin hyvin
-
mutta aloitamme todella yksinkertaisia
-
olet testaamassa luvalla ja
sitten kaadat joitakin palvelimen
-
on luultavasti tapahtunut
muutamalle ehkä täällä
-
onko se tapahtunut kenellekään teistä
-
Joo, okei muutamalle
-
Näen myös kollegani tuolla
-
olemme tehneet tämän valitettavasti
melko monta kertaa
-
Ehkä meidän olisi pitänyt tehdä
enemmän perusteellista tarkastusta
-
Ehkä tietokoneet, joita testasimme,
olivat jossain luutakaapissa
-
tai se oli raspberry pi, joka ei
todellakaan pystynyt käsittelemään
-
monia pyyntöjä joten se ei pysty
käsittelemään mitään automatisoitua
-
ja se vain kuolee
joten emme oikeastaan palvele asiakasta
-
tai yksilöä, jota testaamme
eikä luultavasti ketään muutakaan
-
eikä ole mukavaa saada asiakkaalta
puhelu, jossa sanotaan
-
että olet kaatanut palvelimemme,
mitä teet, lopeta tekemästä sitä
-
mitä teetkään se ei ole siistiä
meidän tuotanto on alhaalla ja sitten
-
sitten huomaat, että heidän
tuotantonsa toimii perunoilla
-
joten sekin on hyvä havainto
-
nyt harmaampi alue asioista, joita olen
nähnyt viime aikoina
-
Joku pamautti samppanjan ja se on
hienoa
-
ja olen ottanut käyttöön tämän
mielivaltaisen gandalf harmaasävyasteikko
-
jotkut teistä eivät ehkä näe
sitä riippuen siitä kuinka harmaaksi
-
uskon sen olevan, niin gandalffeja
on enemmän
-
joka edustaa sitä, kuinka harmaata
tämä toiminta saattaa olla
-
Aloitetaan ensimmäinenII
-
tosiaan ensimmäinen näyte tavallaan alkaa
ensimmäisestä esimerkistä mikä meillä oli.
-
Testaaminen ilman lupaa ja sitten
palveluiden kaataminen.
-
Annan sille ehkä yhden gandalffin
-
Tarkoitan että se on tavallaan... joo
-
ja joissain tapauksissa se ei ole ehkä,
edes kovin laillista joissain maissa
-
tiedäthän, et oikein saa testata
ilman lupaa, joten.
-
Annan sille ehkä yhden gandalffin.
-
Sitten toinen on haavoittuvaisuuden
yli tallomista, ilman lupaa
-
mutta sitten kuitenkin ilmoitat
kohdeyritykselle
-
esimerkiksi paikallisen
sertifikaatin kautta.
-
Ja paikallinen sertifikaatti ja
erityisesti monet euroopan maat
-
haluavat suojella hakkeria yhtiöltä
-
mikäli he haluavat vainota
sinua hakkerina
-
joten, ne suojelevat sinua myös yksilönä,
-
jotta sinua ei vainottaisi, koska se on
-
yrityksen virallinen yhteyshenkilö.
-
Annan tälle ehkä yhden gandalffin,
-
ehkä en edes yhtä gandalfia.
-
Ehkä annan hobitin en tiedä.
-
Ja sitten meillä on tämä todella
-
mahtava juttu.....testi juttu ilman lupaa
-
ja kohteen kiristäminen.
-
Palkitse minut tai muuten tapahtuu jotain
-
joku hakkeroi sinut.
-
Se ei ole minä, mutta tässä koko nimeni..
-
Monesti olemme nähneet tämäntyyppisten
-
yksilöiden ottavan yrityksiin
-
suoraan yhteyttä
-
ja sanovat, että heillä on kauhea
-
hyvin kriittinen haavoittuvaisuus
-
sinun täytyy maksaa minulle heti,
-
ja sitten kun alat kysyä okei, mikä tämä
-
haavoittuvaisuus on oikeastaan
-
sitten se kertoo sinulla olevan tiedosto
-
paikassa johon se ei kuulu
-
tai se voi oikeastaan olla
-
tosissaan oikeastaan ei mitään ja
-
haluavat palkinnon siitä.
-
Joskus se oikeasti voi oikeasti olla
-
jotain, mutta et oikeastaan tiedä sitä
-
ennen kuin päädyt tähän super ärsyttävään
-
keskusteluun.
-
Yleensä se on melkeinpä spämmi taikka
-
skämmi, jossa he todella yrittävät saada
-
sinut. He saattavat lähettää yhtiön
-
toimitusjohtajalle tämän sähköpostin ja
-
ja he häipyvät vauhdilla, hui jotain on
tekeillä,
-
ja he häipyvät vauhdilla, hui jotain on
tekeillä,
-
Se on myös aika häiritsevää,
et siis hyödytä ketään,
-
sanoisin.
-
Annan sille yhden ehkä kaksi
gandalfia.
-
Ja sitten on uusi, todella siisti
trendi. Marketointi trendi
-
missä testaat ilman lupaa,
sinun todella mahtavaa
-
palveluasi joka löytää
heikkouksia, jonka jälkeen
-
-
-
-
-
-
-
-
-
-
-
-
-
mutta ehkä te tiedätte, mistä se riippuu
-
tai avoin jakaminen, jotkut haluavat
pitää salaisen tekniikkansa
-
ja pitää ne omana tietonaan, koska
he saavat enemmän palkintoja
-
koska jotkut haluavat jakaa kaiken
-
ja luulen, että yksi syistä siihen, että
halusin puhua tällä leirillä ongelmista
-
on se, että monet teistä ovat luultavasti
myös kiinnostuneita keskustelemaan
-
näistä asioista ja katsomaan,
mihin tämä johtaa
-
en tiedä
-
mielestäni olisi parempi jos
kaikki jakaisivat, mutta jotkut
-
ihmiset haluavat pitää jotkin tekniikat
omana tietonaan
-
mitä on sitten oikeasti
eettinen hakkerointi
-
Tarkoitan, että on olemassa joitakin
rajoja, joista osa on laillisia.
-
mutta joitakin oikeudellisia
rajoja ei tunneta hyvin.
-
rajat voivat myös vaihdella sen mukaan
missä maassa yritys sijaitsee
-
ja missä hakkeri on.
-
joten rajojen asettaminen voi olla
vaikeaa jopa laillisesti
-
koska se riippuu toisinaan siitä
-
Millaisia rajojen pitäisi olla ja
kenen pitäisi määritellä ne?
-
Mikä on eettistä hakkerointia ja miten
voimme yhteisönä vaikuttaa näihin
-
ongelmiin
-
Loppukysymys lienee, miltä
moraalinen kompassisi näyttää
-
ja mihin suuntaan se osoittaa
-
oletko valkohattu, mustahattu vai
jotain niiden välistä
-
tai sekoitus kaikista
-
ja arvelen tämän esityksen olleen paljon
nopeampi kuin suunnittelin sen olevan
-
joten jos teidän tarvitsee löytää minut
myöhemmin, voitte löytää minut
-
salmiakki-kylästä kylmästä pohjoisesta
tuossa on minun kontaki-informaatio
-
Ilmeisesti olin liian nopea
-
-
-
Näyttää siltä, että meillä on noin 15
minuuttia aikaa kysymyksille
-
jos niitä on ollenkaan
Onko kysymyksiä internetistä?
-
Ei ollenkaan. Onko kysymyksiä yleisöltä?
asettukaa tuonne riviin
-
mikrofonin viereen
-
Moi! En ole mikään asiantuntija
totaalinen aloittelija, joten tämä
-
kysymys voi olla typerä, mutta
sen perusteella, mitä olen ymmärtänyt
-
otit huomioon hakkeroitujen ihmisten
ja hakkeroivien ihmisten edun
-
Entäpäs yleinen etu? Entä ne ihmiset,
jotka eivät liity yritykseen tai hakkeriin
-
eli kaikki muut, eikö se ole
olennainen kysymys siihen, onko se
-
eettistä vai ei
Hyödyttääkö se kaikkia?
-
mitä teen hakkerina? vai pahentaako se
tilannetta kaikille
-
Joo, tarkoitan se riippuu myös siitä
hyödyttääkö se kaikkia vai suurta
-
määrää ihmisiä vai muutamaa ihmistä.
-
Se on vaikea kysymys vastata
-
Minulla ei taida olla vastausta.
-
Joo se on etiikkaa
-
Hei, keskityit paljon laillisuuteen
ja teknisiin hardcore-hakkeihin
-
mutta jotkut asiat, joita toit esille
käsitteli tunnuksia
-
juuri eilen meillä oli esitys
sosiaalisesta manipuloinnista
-
ja tarkoitan, että ilmeisin sosiaalisen
manipuloinnin
-
taktiikka on olla erittäin suora ja
tutut kasvot
-
ja okei sait kulkuluvan siinä kaikki
mutta pääset arvokkaisiin kohteisiin
-
yleensä aletaan rakentaa verkostoja
ja se on ihmismäinen luottamus
-
jota sinun tulee rakentaa ihmisen
kanssa, jotta voit rakentaa verkoston
-
päästäksesi oikeasti ylös maaliisi,
johon tähtäät
-
ja sitten petät ne ihmiset
ja sillä voi olla todellisia psykologisia
-
vaikutuksia kyseisiin ihmisiin, meillä oli
todella hyvä keskustelu esityksen jälkeen
-
eilen kavereiden kanssa
-
En näe, että tästä keskusteltaisiin
eettisessä hakkeroinnissa
-
psykologinen vaikutus "Voi paska, luotin
tuohon tyyppiin"
-
Joten, mitkä ovat ajatuksesi
tuohon liittyen?
-
Joo...
-
luottamuksen pettäminen voi olla hyvin
haitallista
-
henkilöiden mielenterveyden kannalta
ja näemme myös esimerkikis moni
-
tietoverkkorikollisuuden uhreiksi
joutuneita ihmisiä myös
-
He kärsivät paljon joskus, joten joissain
tapauksissa
-
meillä pitäisi olla uhrien
terveydenhuoltoa
-
kuten kyberrikosterveydenhuoltoasema
en tiedä, miltä se näyttäisi
-
mutta se on todella vaikeaa ihmisille
henkisesti erityisesti jos he ovat
-
esimerkiksi alkukohta isomalle
tapahtumalle, silloin se on hyvin vaikeaa
-
heille, kun heille valkenee, että tämä
todella oli vakavaa
-
Joo, siinä on paljon parannettavaa.
-
Onko lisää kysymyksiä?
-
ehkä vain kommentoidakseni sitä
mistä juuri puhuit
-
kutsutaan toiseksi uhriksi
-
kuten lentäjä, kun kone syöksyi maahan
-
sanotaan, että ihmisiä kuoli, mutta se ei
ole lentäjän syytä
-
melkein koskaan, todella harvoin
-
mutta he tuntevat todella paljon
vastuullisuutta ja joskus he
-
tekevät tekoja itseään vastaan
jos laitetaan se näin
-
Yleisesti ottaen uskon, että turvallisuus
hyötyisi kirjallisuudesta.
-
mutta se on eri asia,
josta voidaan keskustella
-
näyttää siltä, että on yksi kysymys vielä
-
palvelun 6.8 miljoona viime vuonna
työskentelin suuryrityksessä
-
Mitä mieltä olet tulojen määrästä?
6.8 miljoonaa
-
spycloud yritykset, jotka tilaavat
olennaisesti vuotoja, dumppeja
-
ja tunnuksia omista infrastruktuureista
-
joo, tämä on yksi palvelu,
jonka voit tilata
-
Tarkoitan, etten ole varma,
mitä mieltä olen
-
on myös muita kyberuhkatiedusteluun
liittyviä yrityksiä, jotka tarjoavat
-
varastettuja tunnuksia jne
-
se on harmaa alue... joo
-
en tiedä se on kai yksi kysymyksistä
joita minulla on
-
en ole varma, mikä on oikein ja väärin
-
varmaankin lisää keskusteluja tarvitaan
rajojen löytämiseksi
-
siitä, mikä on oikein ja mikä väärin
-
loppumusiikki
