<div dir="ltr"><div dir="ltr">Ok so this was a good talk. He started off with why it would be difficult to do things in a factory, although everything he noted (which were protestations from a manufacturer) seemed pretty overcome-able. For example "We have our own employees on site checking for security issues such as this" - makes me think:</div><div dir="ltr">1. How much attention can they really pay to this level of detail<div>2. How do you know your employees really are your employees?</div><div>3. Has this process ever caught anything?</div><div><br></div><div>Also how hard would it really be to hide a component from an XRay? Seems like you just put a tiny lead coat on it like at the dentist? </div><div><br></div><div>His best line was "We know it's possible both because the NSA has apparently done it, but also because I'VE done it." after which he goes on to discuss how he did it.</div><div><br></div><div>Offense IS super hard, but every time people say it's "unlikely" or "impossible" I think about this beetle that eats toads that eat beetles: <a href="https://www.wired.com/2016/01/absurd-creature-of-the-week-this-toad-isnt-eating-a-bug-the-bug-is-eating-it/">https://www.wired.com/2016/01/absurd-creature-of-the-week-this-toad-isnt-eating-a-bug-the-bug-is-eating-it/</a> . I mean the general rule is that if it's POSSIBLE then a state-level attacker (or teenager) is doing it, right?</div><div><br></div><div><br></div><div>-dave</div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Dec 29, 2018 at 11:55 AM Arun Koshy <<a href="mailto:arunkoshy@gmail.com">arunkoshy@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">check:<br>
<br>
<a href="https://media.ccc.de/v/35c3-9597-modchips_of_the_state" rel="noreferrer" target="_blank">https://media.ccc.de/v/35c3-9597-modchips_of_the_state</a><br>
</blockquote></div>