
Turkish: 
Bu sene süper balıkları duydun mu?
[Sean] Evet. Bu Lenovo dizüstü skandalı, değil mi?
Evet, hemen hemen her tüketici Lenovo dizüstü bilgisayarına yüklenen bir yazılım.
O kadar kötüydü ki, ABD iç güvenlik departmanı, bunun kaldırılması gerektiğine dair bir tavsiye yayınladı.
Ve neden bu kadar kötü olduğunu anlamak için Ortadaki Adam saldırılarını anlamamız gerekiyor.
Uzun süredir trafiğe müdahale etmek için birçok teknik vardır.
Hatırladığım en eskilerden biri ARP sahtekarlığı ya da ARP zehirlenmesiydi.
Yönelticinin ortasında oturuyorsun. Çünkü tüm yönlendiricilerin biraz anteni ve üzerlerinde bazı ışıkları var.
Ve buna bağlı bilgisayarların var.
Ve yaptığınız şey, bilgisayarınızı açık bir Wi-Fi ağına getirmek.
bilgisayarınızı bağlayın ve bilgisayarınız sadece "Merhaba! Ben şimdi yönlendiriciyim" diye duyurdu.

English: 
Did you hear about superfish this year?
[Sean] Yes. This is the Lenovo laptop scandal, isn't it?
Yeah this is the bit of software that was installed on pretty much every consumer Lenovo laptop.
It was so bad that the US department of homeland security issued an advisory saying that this needs to be uninstalled.
And to understand why it's so bad we need to understand Man In The Middle attacks.
There have been a lot of techniques for intercepting traffic for a long long time.
One of the earliest ones I remember was called ARP spoofing or ARP poisoning.
You've got your router sitting in the middle.  Cause all routers have a little aerial and some lights on them.
And you've got computers connected to this.
And what you do is you bring your computer onto an open Wi-Fi network, something like that,
connect your computer, and your computer just announces, "Hello!  I'm now the router."

English: 
I'm simplifying massively here but basically the network is built on trust.
And so the computers just kind of believe it.
And so the computers and the router and sending all their packets to you first and then you're forwarding them on to the right locations.
So everything's going through you.  10 or 15 years ago this was terrible because pretty much everything was sent in plain text.
Email passwords, websites, everything was going through plain text.
So you could just sit there
and provided your computer was fast enough, your network card was good enough,
you could see every bit of traffic on this network and just kind of slurp all the password out.
Obviously massively illegal without the consent of everyone on the network so Don't do that!
Umm, but the solution to that is SSL.
Your computer sitting here, and the server out here.  As all servers look like computers from the 1990s.
Your computer sends requests saying "Hello, I would like to talk securely."
"These are the protocols I can support. These are my details."
And the server comes back, "Yeah, okay.  Here's my public key."

Turkish: 
Burada büyük ölçüde basitleştiriyorum ancak temelde ağ güven üzerine kuruludur.
Ve böylece bilgisayarlar buna inanıyor.
Ve böylece bilgisayarlar ve yönlendirici ve önce tüm paketlerini size gönderiyor, sonra onları doğru yerlere gönderiyorsunuz.
Yani her şey senin içinden geçiyor. 10 ya da 15 yıl önce bu korkunçtu çünkü hemen hemen her şey düz metin olarak gönderildi.
E-posta şifreleri, web siteleri, her şey düz metinden geçiyordu.
Böylece orada oturabilirsin
bilgisayarınızın yeterince hızlı olması şartıyla, ağ kartınız yeterince iyi
Bu ağdaki her trafik parçasını görebiliyordunuz ve sadece tüm şifreleri gizlemeye çalışıyorsunuz.
Açıkça görülüyor ki, ağdaki herkesin rızası olmadan kitlesel olarak yasa dışı.
Umm, ama bunun çözümü SSL.
Bilgisayarınız burada oturuyor ve sunucu da burada. Tüm sunucular 1990'lardaki bilgisayarlara benziyor.
Bilgisayarınız "Merhaba, güvenli bir şekilde konuşmak istiyorum."
“Bunlar destekleyebileceğim protokoller. Bunlar benim bilgilerim.”
Ve sunucu geri geliyor, "Evet, tamam. İşte benim genel anahtarım."

Turkish: 
Computerphile'nin yaptığını biliyorum, daha önce açık ve özel anahtarlar yaptınız.
-Evet, arkamda oturdu.
Evet, gidip detaylarını bilmek istiyorsan, genel ve özel anahtar şifrelemesi hakkındaki videosunu izle.
Temel olarak sunucu uzun bir sayı dizisi geri gönderir. Bilgisayarınız bunlarla mesajları imzalayabilir ve bunlarla mesajları şifreleyebilir.
Ve sadece o sunucu tarafından açılabilirler çünkü matematik.
Bundan daha fazlasını açıklamaya çalışmayacağım.
Mesajları kilitleyebilirsiniz, sadece kilidini açabilirler.
Hangisi harika, çünkü burada ortada oturan ve saldırganınız her şeyi okumak sadece ses görecektir.
Yaptığımız tek şey hariç, sadece sorunu bir aşamaya taşıdık.
çünkü bu ilk bit, "Merhaba, güvenli bir şekilde konuşmak istiyorum." “Evet tamam. İşte özel (sic." Genel "demek) anahtarım." Bu düz metin olarak girmeli.
Ve ortadaki biri bunu değiştirebilir.
Sunucu tarafından gönderilen açık anahtarı alıp gidebilirler.

English: 
I know Computerphile has done, you've done public and private key before.
-Yeah, he's sat behind me.
So yeah, go watch his video about public and private key cryptography if you want to know the details about that.
Basically the server sends back a long series of numbers.  Your computer can sign messages with these and encrypt messages with these.
And they can only be unlocked by that server because maths.
I'm not going to try to explain more than that.
You can lock messages, only they can unlock them.
Which is great because your attacker, who is sitting in the middle here, and reading everything will just see noise.
Except all we've really done is just moved the problem back a stage
because that first bit, that "Hello, I would like to talk securely." "Yeah okay. Here's my private (sic. meant "public") key."  That has to go in plain text.
And someone in the middle can change that.
They can take that public key that was sent by the server and just go,

Turkish: 
“Um, hayır. Buna sahip olacağım! İşte benim genel anahtarım.” Aslında buraya ve sonra buraya gidiyorsun.
Buradaki bilgisayarınız aradaki farkı bilmiyor.
Daha sonra mesajı saldırganın ortak anahtarıyla şifreler. Buraya geri gönderir.
Saldırgan açar. Şifresini çözer. Okuyor.
"Tamam" dır. ve ardından bilgisayarınızdan düzgün bir şekilde şifrelenmiş olması gereken iletiyi gönderir.
Sunucu devam ediyor, "Tamam, burada şifreli bir bağlantımız var." Şifreli paketi gönderir.
Bunu şimdi yapabilen saldırgan kilidini açar, "evet, tamam" olur.
ve sonra anahtarlarıyla yeniden şifreler, size gönderir ve şimdi her bir iletişim saldırgandan geçiyor.
Kimse bir şeyin yanlış olduğunu bilmiyor. Bu senin Ortadaki klasik Adam saldırın.
Bunun çözümü imzalı sertifikalar olarak adlandırılan bir şeydir.
Bu yüzden web üzerinde güvenli bir sunucu kurmak şu anda biraz para gerektiriyor.
Gelecekte olmayabilir demek istiyorum.
Electronic Frontier Foundation ve Mozilla ve bu ücretsiz yapmak için bir şey oluşturmaya çalışıyor.
Umarım yıl sonuna kadar olacak.

English: 
"Um, no.  I'm going to have that! Here's my public key instead."  You're actually going here, and then here.
Your computer here doesn't know the difference.
It then encrypts the message with the attacker's public key. Sends it back here.
Attacker opens it. Decrypts it.  Reads it.
Goes "okay." and then sends the message that should have been sent from your computer all properly encrypted.
Server goes, "All right, we've got an encrypted connection going on here." Sends the encrypted packet.
The attacker, who can do this now, unlocks it, goes "yeah, all right,"
and then re-encrypts it with their key, sends it on to you and now every single communication is going through the attacker.
No one knows anything is wrong. That is your classic Man In The Middle attack.
The solution to this is something called signed certificates.
This is why setting up a secure server on the web costs a little bit of money right now.
I mean it may not in the future.
The Electronic Frontier Foundation and Mozilla and trying to set up a thing to make this free.
Hopefully by the end of the year it will be.

Turkish: 
Ancak, fikir alışverişinde bulunduğunuz ortak anahtar kümesi için bir üçüncü taraf kuponu olduğu yönündedir.
Bunu yapmak zorundaydım.
Yaklaşık bir yıl önce güvenli bir sunucu kurdum.
Ayarlama yaparken ne yapmam gerekiyordu "Bu web sitesini çalıştıracak, bu adreste olacak, bu protokolleri kullanacak" yazmalıydım.
ve bu ortak ve özel anahtarlar kümesini oluştururlardı.
Ve daha sonra, iyi olduğunu bildiğim, güvenli bir bağlantı üzerinden, o özel anahtarı sertifika olarak adlandırılan bir şeye gönderdim.
Sertifika yetkilisini nasıl çizerim?
[Sean] Bence yüzü olmayan bir ofis olacak. Ya da neden bir fabrika yapmıyoruz o zaman bunun bir çeşit indus olduğunu biliyoruz.
Haha, İnternet fabrikalarına gidiyoruz, işte gidiyoruz.
İnternetin fabrikası, tamam, işte gidiyoruz, orada bir asma kilit fabrikası var.
Hayır hayır, asma kilit değil. Buraya bir asma kilit çizdim, değil.
Bir anahtar seti. Buna genel ve özel anahtarlar diyoruz.
Anahtarlarımı ben oluşturuyorum. Onları yapıyorum. Onları bu şirkete güvende olduğumu bildiğim bir bağlantı üzerinden gönderiyorum.

English: 
But the idea is that there's a third party vouching for the set of the public keys you're exchanging.
I've had to do this.
I set up a secure server about a year ago now.
What I had to do when I was setting it up I had to write "It's going to run this website, it's going to be on this address, it's going to use these protocols"
and they would generate this set of public and private keys.
And then over an existing secure connection, one that I knew to be good, I send that private key off to something that is called a certifi-
How do I draw a certificate authority?
[Sean] I think it's going to be a faceless office.  Or why don't we do a factory then we know that's kind of indus...
Haha, we're going to the Internet factory, there we go.
Factory of the Internet, all right, there we go, we got a padlock factory there.
No no, it's not a padlock.  I've drawn a padlock here, it's not.
It's a set of keys.  It's what we call public and private keys.
I generate my keys. I make them. And I send them over a connection I know to be secure to this company.

Turkish: 
Dünyada yarım düzine kadar büyük var. Belki 50 ya da 100 ya da çok küçük bölgesel olanlar.
Ve yaptıkları şey kontrol ediyorlar, tamam bu anahtarlar elimizde. Kesinlikle bu sunucudan mı? Evet.
Ve üzerinde şirket adının yazılı olduğu yeşil asma kilitlerden birini istiyorsan, senden,
Bilmiyorum, kafa kağıdına bir şey faksla, bunun gibi bir şey. Muhtemelen hala bir faks makinesidir.
bu yüzden faks makinesini çalışır durumda tutmak sizin için çok pahalı.
Bunu anladılar. Doğru sunucudan geldiğini kontrol ediyorlar.
Bunun doğru anahtarlar olduğunu kontrol ediyorlar.
Ve sonra onlara matematik yapıyorlar.
Ve şimdi bu anahtarlar şimdi o şirket tarafından başka kimsede olmayan kendi özel anahtarı ile imzalandı.
Şimdi, ilk başa döndüğümde ve değer verdiğimde, kişi gelir, sunucumla konuşuyorlar ve "Merhaba. Güvenli konuşmak istiyorum" diyorlar.
Ve sunucum der ki, "Tamam. İşte genel anahtarım. Buradakiler tarafından imzalandı."
Ve şirket der ki, "Ah! Ah evet, tamam! Bu harika."

English: 
There's like half a dozen big ones in the world. Maybe 50 or 100 or so small regional ones.
And what they do is they check, all right these keys we've got.  Are they definitely from this server? Yes.
And if you want one of the green padlocks with your company name on it they ask you to,
I don't know, fax something on headed paper, something like that. It's probably still a fax machine actually,
which is why it's so expensive, know you, to keep the fax machine running.
They get this.  They check it's coming from the right server.
They check it's the right keys.
And then they do maths to them.
And now those keys are now signed by that company with their own private key, which no one else has.
So now, when I do that initial back and worth, so person comes along, they talk to my server, and they say "Hello. I would like to talk securely."
And my server says, "All right. Here is my public key. It's been signed by those folks over there."
And the company says, "Ah! Oh yeah, okay! That's great."

Turkish: 
Ve eğer saldırgan bu tuşlardan bir kısmını değiştirirse, - bilgisayar anlamında - orada bir 1 veya 0 varsa, matematik artık artmaz.
Ve bundan da öte, sadece matematik eklemekle kalmaz, yeni anahtar üretemez ve imzalayamazlar çünkü bu büyük şirketlerin hiçbiri için özel bir anahtarı yoktur.
Yani saldırgan tamamen şanssız.
Değiştirirlerse, halka açık bir wi-fi ağına giriş yapmaya çalıştığınızda olduğu gibi görünür, "Hey! Giriş yapmalısınız. Bilgilerinize ihtiyacımız var."
Bazen bu orta atakta bir adam
ve sunucuya göndermeye çalıştığınız şeyleri alıyorlar. Ve giriyorlar ve gönderiyorlar, "hayır, sayfamı geri göndereceğiz."
Bu uyarı belirecek ve "Gmail’le güvenli bir bağlantıda olmamız gerekiyordu ama biz değiliz! YWAA! . Herkes panikliyor. Büyük kırmızı ekran."
Hangisi şimdi elbette çoğu insan kendilerini tıklamak için eğittiler ama biliyorsunuz, deniyorsunuz.
Tamam, saldırgan artık anahtarları arayamaz. Her türlü kırmızı bayrak göndermeden, bu sorun değil.
Fakat yine de yaptığımız tek şey, sorunu bir aşamaya taşıdık, çünkü hangi sertifika yetkililerine güveneceğinizi nereden biliyorsunuz?
Ve o zaman son kullanıcılar için, sizin ve benim gibi web gezgini gibi insanlar için, güven duymanız gerektiğinde.

English: 
And if the attacker changes one bit of those keys, - in the computer sense -, one 1 or 0 in there, the maths doesn't add up any more.
And more than that, not only does the maths not add up, they can't generate any new keys and sign them because they don't have the private key for any of these big companies.
So the attacker's completely out of luck.
If they change it, it'd be like when you try logging into a public wi-fi network, it pops up "Hey! You need to log in.  We need your details."
Sometimes that's a man in the middle attack
and they are taking stuff you are trying to send to the server. And they're getting in the way and sending, "no we're going to send back our page instead."
This warning will pop up and say "we're meant to be on a secure connection to Gmail but we're not! YWAA! . Panic everyone run. Big red screen."
Which of course now most people have now trained themselves to click through, but you know, you try.
Okay, the attacker can't intercept the keys any more. Not without sending up all sorts of red flags, which is fine.
But again all we've done is we've moved the problem back a stage because how do you know which certificate authorities to trust?
And that's when for end users, for people like you and me web browsing, when you do have to take it on trust.

English: 
Because when you bought your smart phone- when I bought this I trusted Apple.
They installed a list of maybe probably about 100 certificate authorities, those factories on there.
They installed their public keys on there.
So they don't really go over the air to start with. They're pre-installed with your device.
If you install a web browser, that would be over a connection you know to be secure or hopefully. And you install that and say "Right, I'm trusting these companies because my browser manufacturer trusts them."
It's okay, we now have keys on this server signed by the factory here.
And that factory is trusted by whoever made your browser or your device.
So we have this complete network of trust that's set up.
That means the attacker can't change the keys. And there are two obvious weak points there.
One is the certificate authority.

Turkish: 
Çünkü akıllı telefonunuzu aldığınızda, bunu aldığımda Apple'a güvendim.
Oradaki fabrikalarda belki de yaklaşık 100 sertifika yetkilisi listesi kurmuşlardı.
Oraya ortak anahtarlarını kurdular.
Yani başlangıçta gerçekten havadan geçmiyorlar. Cihazınıza önceden kurulmuşlar.
Bir web tarayıcısı kurarsanız, bu güvenli olduğunu veya umarım güvende olduğunu bildiğiniz bir bağlantının üzerinden gelir. Ve bunu yükleyip "Doğru, bu şirketlere güveniyorum, çünkü tarayıcı üreticim onlara güveniyor" diyorsunuz.
Sorun değil, şimdi burada fabrikada imzalanan bu sunucuda anahtarlarımız var.
Ve bu fabrika, tarayıcınızı veya cihazınızı kim yaptıysa güvenir.
Bu yüzden, kurulan eksiksiz bir güven ağına sahibiz.
Bu, saldırganın anahtarları değiştiremeyeceği anlamına gelir. Ve orada iki açık zayıf nokta var.
Birincisi sertifika yetkilisidir.

Turkish: 
Anahtarları sahtekarlıkla imzalamalarını sağlayabilirseniz, o zaman onlara güvenen herkes tamamen şanssız kalır.
Ve bu oldu, bu şimdi iflas etmiş olan Hollandalı bir sertifika otoritesine oldu çünkü kimse onlara güvenmiyor.
Bir şekilde bağlandılar, zorlandılar, rüşvet aldılar, kimse bilmiyor, ancak Google için tamamen geçerli, imzalı bir sertifika oluşturdular.
Bunu yapmaya hakları yoktu, bunu yapma iznine sahip değillerdi, ancak Google'ın tamamı için "Buna güveniyoruz" diyerek imzası bulunan bir sertifika oluşturdular.
Ve bir şekilde, İran’a muazzam sayıda İranlı web kullanıcısına orta saldırıda kitlesel bir adam yönetti.
Bu yüzden hepsi, içinde "Google" yazan büyük yeşil bir asma kilit görüyorlardı.
Ayrıntılara baktılarsa, ki bu birkaç kişi - paranoyaksanız, bu konuyla ilgili ayrıntıları kontrol edin.
Birisi “Google için bu sertifika neden Hollanda'da bir kişi tarafından imzalandı? Bu bir anlam ifade etmiyor” diye soruyor. Ve bu şekilde bulundu.
Bu gerçek bir Google sertifikası değildi.

English: 
If you can get them to fraudulently sign keys then all the people who trust them are completely out of luck.
And that happened, that happened to a Dutch certificate authority that is now bankrupt because no one trusts them.
Somehow they got conned, coerced, bribed, no one knows, but they generated a completely valid, signed certificate for Google.
They had no right to do that, no permission to do that but they generated a certificate for the whole of Google with their signature on it saying, "We trust this."
And that somehow made it to Iran where someone manage a massive man in the middle attack on enormous numbers of Iranian web users.
So they were all seeing a big green padlock with "Google" written in it.
If they looked at the details, which a couple of people - if you're paranoid, you check the details on this.
And someone is asking "Why is this certificate for Google signed by someone in the Netherlands? That doesn't make sense." And that was how it was found out.
That wasn't a genuine Google certificate.

Turkish: 
Fakat çoğu insan bunu bilemezdi.
Gmail ile konuşuyorlar. Orada büyük bir yeşil Google sertifikası görüyorlar. Her şeyin iyi olduğunu düşünüyorlar.
- Yani temel olarak Gmail e-postalarına bakıyorlar, ama hepsi başka bir yere gidiyor.
Hepsi bir saldırgandan geçiyor. Değiştirilmekte olan anahtarlar her web sitesi için yapamadılar, ancak bunun için yaptılar, Google için yaptılar.
Böylece, onlardan geçen Google trafiğinin her bir parçası, anahtarları değiştiriyorlardı.
Her şeyi açıyorlardı, bakıyorlardı, hepsi açık bir şekilde milisaniyelerde oluyor. Aç onu. Sakla. Üzerindeki yeni anahtarları al. Gönder onu.
Ve bu korkunç. Çıkarırsanız yıkıcı bir saldırı olur.
Ve hükümetlerin bunu yapabileceği konusunda gerçek bir endişe var.
Hükümetlerin sertifika yetkililerine gidip "Doğru. Buradaki hükümet budur. Bazı sahte sertifikalar üretmenizi istiyoruz" diyebilir.
Ya da sadece özel anahtarları çalabilirler.
Sertifika yetkilisinin özel anahtarlarını çalabilirlerse, otoritenin haberi bile olmadan kendi anahtarlarını oluşturabilirler.

English: 
But most people wouldn't know that.
They're talking to Gmail. They're seeing a big green Google certificate in there. They think all's well.
- So they're basically looking at their Gmail emails, but it's all going through somewhere else.
It's all going through an attacker.  The keys that are being replace, they couldn't do it for every website, but they've done it for this one, they've done it for Google.
So every bit of Google traffic that went through them, they were swapping out the keys.
They were opening everything, looking at it, all this is all happening in milliseconds obviously. Open it.  Store it. Put the new keys on it that you've got. Send it onwards.
And it's terrible. It's a devastating attack if you can pull it off.
And there is a genuine concern that governments can do this.
That governments can go to certificate authorities and say, "Right. This is the government here. We need you to generate some fake certificates."
Or they can just steal the private keys.
If they can steal the certificate authority's private keys, they can generate their own keys without even the authority knowing.

Turkish: 
Yani, eğer başarabilirlerse yıkıcı bir saldırı.
Yapabilirler mi?
NSA bunu bir şekilde yapmazsa şaşırırdım.
Aslında bunu yapmayı seçip seçmemeleri başka bir konudur.
Çünkü yaparlarsa ve anlaşılırsa, sadece kimsenin güvenmeyeceği oldukça büyük bir şirketi iflas ettirmekle kalmadı, aynı zamanda gizliliğini de mahvetti.
Bu yüzden, evet, bunu yapabildiklerinden şüpheleniyorum, ancak başka bir seçeneğin olmadığı çok nadir durumlarda kullanıyorlar.
Olsa da olmasa da, bu tartışmaya girmiyorum.
Bu zayıf bir nokta. Diğeri, telefonunuzdaki veya bilgisayarınızdaki güvenilir yetkililerin listesidir.
Çünkü eğer bir saldırgan oraya fazladan giriş yapabilirse, kendilerini oraya alabilirlerse, o zaman anında yeni anahtarlar üretebilirler ve her bir bağlantı kesilebilir.
Demek Superfish'in yaptığı buydu.
Reklam vermek istediler.
Superfish, Google aramalarınızı yapan ve onlar için biraz daha fazla reklam ekleyen bir programdı, bu korkunç bir fikir!

English: 
I mean, it's a devastating attack if they can pull it off.
Can they?
I'd be surprised if the NSA couldn't do that somehow.
Whether they actually choose to do it is another matter.
Because if they do, and it gets found out, not only have they bankrupted a fairly major company, that no one trusts any more, but they've blown their cover.
So I suspect that yeah they can do it, but they use it in very very rare situations where they haven't got another option.
Whether they should, I'm not getting into that debate.
That's one weak spot.  The other is the list of trusted authorities on your phone or on your computer.
Because if an attacker can get an extra entry in there, if they can get themselves in there, then they can just generate new keys on the fly and every single connection would be intercepted.
So that's what Superfish did.
They wanted to insert advertising.
Superfish was a program that took your Google searches and added a little bit more advertising in it for them, which is a terrible idea!

English: 
But Google switched to secure searching for everyone.
So Superfish, which is such a bad idea, they installed themselves as a trusted certificate provider.
And it wasn't even sitting out in the networks, it was this little program sitting on your own computer looking at all your traffic and doing a man in the middle attack on it and inserting their own adverts.
That authority is sitting on your computer signing keys on the fly.
Which means that the private key, the numbers that should never ever be seen,
is sitting on your computer and can be extracted.
It was the same on every single computer so as soon as one attacker pulled it off one computer, every single installation is vulnerable, because every single computer that has superfish trusts superfish.
So if someone in the middle pretends to be superfish, which they can do because they have that private key,
then that attacker can man in the middle every single secure website out there.

Turkish: 
Ancak Google, herkes için güvenli bir arama yapmayı seçti.
Bu yüzden kötü bir fikir olan Superfish, kendilerini güvenilir bir sertifika sağlayıcısı olarak kurdular.
Ve ağlarda oturmak bile değildi, kendi bilgisayarınızda oturup tüm trafiğinize bakıyor ve orta saldırıda bir adam yapıyor ve kendi ilanlarını ekliyordu.
Bu yetki bilgisayarınızda oturuyor ve anında anahtarları imzalıyor.
Bu, özel anahtarın, hiç görülmemesi gereken sayıların olduğu anlamına gelir.
bilgisayarınızda oturuyor ve çıkartılabilir.
Her bilgisayarda aynıydı, bu yüzden bir saldırgan bir bilgisayardan çıkar çıkmaz, her bir kurulum savunmasızdır, çünkü süper balık olan her bilgisayar süper balıklara güvenir.
Öyleyse ortadaki biri süper balık gibi davranıyorsa, yapabilecekleri özel bir anahtarı olduğu için yapabilirler.
o zaman bu saldırgan, her bir güvenli web sitesini ortasından çıkarabilir.

English: 
And they know you've got it because they can see Lenovo on the back of your computer in the coffee shop.
There's ways, there's uninstallers out there now. Lenovo promised not to do it again. Superfish, as far as I know, does not exist as a bit of software any more.
But it's one short-sighted company that used every ignorant shortcut in the book to try to make a few adverts appear.
Just because of that, tens of thousands maybe hundreds of thousands of computers, I don't know, perhaps a million, I don't know how many they make in a year.
But all those were made vulnerable to a really really terrible attack
just because one company wanted to sell a few ads.
And it's very very difficult for people who go into a bad place and use a card because if you complain to your bank then the strip club owner will just say,
"He was with four girls all night, and four thousand pounds is what that costs at our place."
How long have we not been recording?
That's a really good question.

Turkish: 
Ve senin de olduğunu biliyorlar, çünkü Lenovo'yu bilgisayarın arkasında kahve dükkanında görebiliyorlar.
Bazı yollar var, şimdi kaldırıcılar var. Lenovo bir daha yapmayacağına söz verdi. Superfish, bildiğim kadarıyla, artık biraz yazılım olarak mevcut değil.
Ancak, birkaç ilan görünmesini sağlamak için kitaptaki cahil kestirmeleri kullanan kısa görüşlü bir şirket.
Bu yüzden, onbinlerce belki de yüzbinlerce bilgisayar, bilmiyorum, belki bir milyon, bir yılda kaç tane yaptıklarını bilmiyorum.
Ancak bütün bunlar gerçekten çok korkunç bir saldırıya karşı savunmasız bırakıldı
çünkü bir şirket birkaç reklam satmak istedi.
Ve çok kötü bir yere giren ve bir kart kullanan insanlar için çok zor çünkü bankanıza şikayette bulunursanız striptiz kulübü sahibi der ki,
“Bütün gece dört kızla beraberdi ve dört bin lira bizim yerimize kaça mal oldu.”
Ne zamandır kayıt yapmıyoruz?
Bu gerçekten iyi bir soru.

Turkish: 
Çünkü ben bir aptalım.
Onu seviyorum. Yolun dörtte üçü biziz ve "Neden kayıt yapmıyoruz?"
Bunu Çernobil'deki dron görüntüleri için yaptık. Uçağın görüntüsünde uzak bağlantı bulunan bir monitör vardı.
Ve ellerimizi çekiyoruz. Ve ben bakıp giderim
"GoPro'muz dönmüyor. Ah!"
Uçağı geri getir. Uçağın içindeki pili değiştirin. Ah adamım!

English: 
This is because I'm an idiot.
I love it. We're three quarters of the way through and he says, "Why are we not recording?"
We did that for the drone footage in Chernobyl. We had a monitor on the drone footage with a remote link.
And we're getting our shots.  And I look in and go
"Our GoPro is not rolling. Oh!"
Bring the drone back down. Change the battery in the drone. Oh man!
