_DSC7440
>

Hacket seg til førsteplassen i Capture the flag

Redaksjonen 
4. juni 2019

Deltakere fra IT-bedrifter i hele landet konkurrerte om å være Norges beste hacker i «Capture the flag» (CTF) under sikkerhetskonferansen Paranoia 2019. Les intervju med Thor Bernhardsen fra Bouvet, som stakk av med seieren i årets CTF.  

Hva er Paranoia? 

Paranoia 2019 er en nordisk sikkerhetskonferanse med foredrag i parallelle løp, ett for utviklere og ett for management. Det var også et stort standområde, hvor du kunne mingle med deltakere og virksomheter som fokuserer på sikkerhet. Dette var første gang jeg var med på Paranoia. 

Hvordan foregikk årets CTF? 

CTF er en uhøytidelig konkurranse i cybersikkerhet, hvor du leverer oppgaven individuelt. Det er likevel også vanlig å ha CTF med lag. Jeg er usikker på hvor mange som deltok, men det var 27 personer som leverte noe som helst i konkurransen. Det var mange fra Bouvet, som deltok og gjorde det bra. Mine kollegaer Eivind, Frode og Andreas kom på fjerde, femte og sjette plass, blant annet. Det var hyggelig at det var kjentfolk med, som du kunne sparre med underveis. 

Hvorfor deltok du på årets CTF?

Jeg liker å utforske og ønsker å ha en så bred forståelse som mulig, men jeg er ikke ekspert på alt. På CTFen til Paranoia fikk jeg teste meg på kule oppgaver. Det er også forholdsvis lav terskel og du lærer nye ting. 

Oppgavene

I denne konkurransen var det 16 oppgaver. Vi måtte løse mange ulike typer sikkerhetsoppgaver innen krypto, web og reverse engineering. Innimellom var det også penetration testing og lignende oppgaver, samt SQL injection (SQLi). 

Jeg løste alle oppgavene med unntak av fire. Resten rakk jeg ikke på grunn av foredrag jeg ønsket å få med meg. 

20190522_160531
 Foto tatt under Paranoia 2019 av Vigdis Hanto fra Bouvet. 

Hvilken oppgave var du mest fornøyd med å ha løst? 

For meg var det en kryptooppgave som var veldig lærerik. Vi fikk en kryptert «cookie» som vi visste innholdet på, men siden det var kryptert kunne vi i teorien ikke endre innholdet. Oppgaven løste jeg ved å lage et brukernavn som var så langt at du kunne tukle med innholdet på den uten at noe annet enn brukernavnet ble korrupt. Videre påvirket dette innholdet på neste blokk i «cookien». Mer presist, kunne jeg “fake” at det var en admin-bruker som hadde logget seg på, og det gjorde at jeg fikk flagget. 

 

Jeg samarbeidet med Ivar, en kollega, om å finne blokkstørrelsen, noe som var vesentlig for å finne krypteringen som var tatt i bruk. Vi fant ut at det var 16-byte (128 bit) blokkstørrelse, noe som var nyttig informasjon. Vi hørte også med arrangørene, som var behjelpelige med spørsmål. De ga likevel bare hint. Heldigvis var det alt vi trengte denne gangen. Det var slik vi fant ut hva slags kryptering det var, og fant svakheten som gjorde at vi vant. 

Oppgaven var veldig morsom å løse, og det var litt jubel da den var ferdigløst.

 

Hvilke oppgaver var mest utfordrende? 

Reverse engineering var kanskje det vanskeligste. Vi fikk en binær fil og måtte finne ut av hvordan den fungerte. Heldigvis finnes det verktøy som hjelper deg underveis. Reverse-verktøy som kan være til hjelp er: Standard debugger som gdb, eller disassembler/dekompilere som IDA og Ghidra.

 

Hvilke oppgaver var enklest? 

Web er vanligvis det som er enklest, synes jeg. Det er så mange enkle web exploits.Dette er også noe av det viktigst å beskytte seg mot. 

 

Hvorfor tror du at du stakk av med seieren?  

Ikke godt å si – det var sikkert litt flaks med i bildet. Men akkurat i Paranoia var det lite tid, så det at jeg tok meg tid, hjalp kanskje litt. Det var nok likevel en fordel at jeg har bred datakunnskap. Jeg startet med data allerede da jeg var 5 år og har holdt på med det siden. 

Det kan også nevnes at jeg synes slike oppgaver er veldig gøy, og jeg har vært med på flere CTF-konkurranser tidligere. 

_DSC7440

Noen «takeaways» fra Paranoia 2019?

Det var mye variert. Erna Solberg holdt foredrag om hvordan hun mente statusen var i dag og hvilke utfordringer vi har foran oss. 

Ett av de mest interessante foredragene var Patricia Aas sitt om valgsikkerhet. Det handlet om automatisert stemmetelling i Norge, som ikke nødvendigvis er veldig go. Å ha manuelle stemmer er derfor ganske viktig, mente hun. 

 

Tips til å bli bedre på sikkerhet

  • Å delta på CTFkonkurranser er ikke dumt. Det er snakk om å starte et CTF-lag i Bouvet, med sikte på å delta på ulike CTFer. Det kan hende faggruppen for sikkerhet arrangerer kurs og konkurranser. 
  • Jeg liker også å lese sikkerhetsblogger. OWASP er en fin kilde, bla. topp 10listen. 

Les også om Eivind fra Bouvet, som hacket seg til toppen i Paranoia Challange i fjor.