troy_presenting_resized
>

Fra guttestreker til katastrofer

Jacob Solberg Holm,  Christer Nordbø 
11. okt. 2018

Det blir stadig enklere for personer uten teknisk bakgrunn å gjennomføre avanserte og skadelige angrep på dagens applikasjoner - Da hjelper det å motta faglig påfyll fra en av verdens fremste sikkerhetsbloggere. Vi dro på sikkerhetsworkshop med idolet Troy Hunt.

30-40 ivrige Bouvet'ere sitter klar i et møterom og venter i spenning på sikkerhets-idolet sitt fra "down under". Etter kort tid kommer Troy Hunt inn og begynner å rigge opp utstyret sitt.

Han er veldig avslappet, omgjengelig og lett å diskutere med. Vi kommer fort i snakk med ham om alt fra philips hue pærer i huset hans til hvordan svenske banker sliter med https.

Bevissthet rundt sikkerhet

Hensikten med workshop'en er å heve bevisstheten på sikkerhet i webapplikasjoner hos den gjennomsnittlige utvikler, noe som ofte blir glemt. Slik kompetanseheving er ofte reservert for sikkerhetseksperter og ikke de som sitter å utvikler løsningene på lavt nivå. Under hele seansen benytter Troy seg av mer eller mindre kjente verktøy for de fleste utviklere; chrome dev tools, fiddler, etc..

troy_presenting_resized

Vi fikk innsikt i hvilke svakheter en angriper leter etter i webløsninger, hvordan de kan utnyttes og hvor store konsekvensene er. Vi fikk demonstrert alt fra svakheter i registreringsprosesser, som gir tilbakemelding om kontoen allerede eksisterer eller ikke, til mer alvorlige svakheter som SQL injection hvor vi kunne hente ut en hel database med brukere og passord. Demonstrasjonene ble etterfulgt av praktiske øvelser hvor vi kunne ta i bruk verktøyene og teknikkene vi ble vist. Troy har satt opp et eget usikkert domene for å gjøre nettopp dette: hack-yourself-first.com. I etterkant viste han oss hvorfor dette var mulig og hvordan vi kunne sikre oss mot slike angrep.

Praktiske eksempler


SQL injection

Troy åpner opp en desktop applikasjon med et simpelt grensesnitt. Han taster inn adressen til sin webside, hack-yourself-first.com, og trykker analyze. Vi ser en masse tabeller listes opp, sammen med brukere, passord og annen sensitiv informasjon. Verktøyet viser hvor enkelt hvem som helst kan utføre et slikt angrep. I etterkant går vi nøye gjennom oppbygging av SQL setninger, hvordan vi kan utnytte dem, og hvordan vi kan beskytte oss.

Passord og cracking

Troy tar oss gjennom håndtering og lagring av passord, bl.a. hashing, salting og hashalgoritmer. Vi får utlevert en lekkasje og en ordbok. Deretter åpner vi opp hashcat, et kommandolinje-verktøy som benytter GPU for å komputere hasher. Det er overraskende hvor mange komputasjoner et "forbruker-kort" klarer på SHA1; 3mrd+. Dette var algoritmen som LinkedIn benyttet da de hadde en lekkasje i 2012. Dersom en tregere algoritme blir brukt, som for eks. bcrypt, reduseres dette betydelig.

HTTPS

Et tema som ofte ikke får det fokuset det fortjener. Her adresseres en del svakheter ved HTTP, de viktigste konfidensialitet og manipulering. Dersom en webside bruker HTTP er brukeren sårbar for MITM (Man-In-The_Middle) angrep. Angriperen kan da lese all trafikk i klartekst og evt. manipulere innholdet, noe HTTPS tar tak i ved å kryptere alt av data som går mellom brukeren og websiden. Ved hjelp av Fiddler demonstrerer Troy hvordan vi kan fange og manipulere HTTP trafikken som går mellom vår maskin og internett.

Mobile API

Troy starter Fiddler og setter opp maskinen som en proxy for mobilen sin. Etter installasjon av et rotsertifikat viser han hvordan vi kan monitorere og manipulere data som går inn og ut av apper på mobilen. I mange tilfeller kan vi tukle med parametere for å påvirke funksjonalitet, og av og til fange opp sensitiv informasjon som brukernavn og passord.

Nysgjerrighet 

Workshopen ga god innsikt i hvor enkelt det er å gjennomføre slike angrep, samt hvordan «guttestreker» potensielt kan føre til langt større katastrofer, på grunn av tilgjengeligheten til programvare som gjør hele jobben for deg. Alt man trenger er litt nysgjerrighet, ikke 10 års erfaring fra «bransjen».
Den praktiske biten gir en også noe å arbeide videre på, og gjør at terskelen for å kjøre nye tester på egne systemer senkes betraktelig.
Ofte er det små grep som skal til for å sikre seg mot potensielt store katastrofer.Dersom du er interessert i å lære mer om sikkerhet, så finnes også workshoppen «Hack Yourself First» på Pluralsight.

Vi måtte selvfølgelig også benytte anledningen til å fange noen minner med popidolet vårt.

christer_troy

jacob_troy