Tietoturva Archives

TurkuSec AWS ja ICS

by Santeri Vesalainen | 14.09.2018 | Tietoturva, Yleinen

Tuli käytyä jo toisessa Infosec-tapahtumassa. Viimeksi tammikuussa Disobey ja nyt TurkuSec. Matkaa suunnitellessa Onnibus osoittautui kivasti tapahtuman aikatauluihin sopivaksi kulkupeliksi menopaluu-aikataulujen puolesta, 1430-2135.

Tapahtuma oli ystävällisen oloinen vrt. Disobey (omalla vastuulla wifi-verkossa). Ruoka- ja juomapuoli oli kivasti heti tarjolla. Läppäriä tapahtumaan ei tarvinnut, sen sijaan kännylaturijohdon olisin voinut ottaa mukaan. Paikalla oli yli 30 osanottajaa.

Jännityksen poistajia

Alku- väli- ja loppujutustelujen lisäksi oli paikalle saapunut tietoturvaosaajia puhumaan F-Securelta ja KPMG:stä.

F-Securen (Laura Kankaala) esitys käsitteli Hubblellakin tuttua aihetta AWS. Esityksessä käsiteltiin komponetteihin liittyviä mahd. haavoittuvuuksia AWS-avaimet, S3, CloudFront sekä niiden suomia mahdollisuuksia esim. aws-komentotyökalulla.
KPMG:n (Antti Alestalo) esitys käsitteli ICS-haavoittuvuuksia ympäri maailmaa eri teollisuuslaitoksissa sekä teollisuuden piirissä OT:n (OperationTechnology) ja IT:n (InformationTechnology) ajattelutapojen eroja. Tätä havainnolisti hyvin miksi OT-henkilö ajattelee että Windows XP on parempi kuin Windows 10.

Esitysten lopuksi illan isäntä tarjoutui isännöimään kotonaan Porilaisia tai ketä muuta tahansa, jos haluaa lähteä ”perinteisille” jatkoille Turun keskustassa olevaan ravintolaan. Tämä kuvasi hyvin tapahtuman ystävällistä luonnetta. Ehdottomasti voisi toistenkin tehdä tehokkaan TurkuSec-vierailun.

TurkuSec järjestää syys-lokakuussa lisää tapahtumia mm. bugbounty-tapahtuma hackeronen kanssa. Niitä kannattaa seurata, kuulemma, Turkusec:n kahdelta saitilta:

Linkit

https://www.meetup.com/TurkuSec/events/253704869/
https://github.com/eth0izzle/bucket-stream (F-Securen esityksessä mainittu työkalu)
- https://aws.amazon.com/macie/

Disobey 2018

by Santeri Vesalainen | 15.01.2018 | Tietoturva, Yleinen

Aikaisemmassa blogi-postauksessani kerroin junction-tapahtumasta ja sen ohessa mainitsin hakkereista:
Lue koko juttu täältä .

Kuten ehkä arvasitkin jo, tämä kirjoitus koskee Helsingin Suvilahdessa 12.-13.1.2018 järjestettyyn Disobey 2018 tapahtumaan.
Tapahtumaan lähdin avoimin mielin ilman ennakko-odotuksia. Itse luin tapahtumasta 1. kerran Skrolli-lehdestä, joka oli tänäkin vuonna tapahtumassa mukana omalla standillaan.

Tapahtumassa tarvittiin FUD:n (ei siis F*ckedUpDevice vaan FearUncertaintyDoubt) karkoittamiseen keinoja kuten puku-kielto, valokuvaus-kielto, ”wifi-kielto” ja Chatham House Rulet lue lisää säännöistä täältä :

https://disobey.fi/rd/index.html
https://en.wikipedia.org/wiki/Chatham_House_Rule ( ja niitä sovelletaan myös tässä blogi-kirjoituksessa )

Ei hätää jos selvisit tähän asti. Linkkejä luvassa vielä lisää…

Hakkerointia?

– Kuulostaa että kovasti tarvitsee salata mitä siellä tapahtumassa tehdään. Hakkerit on ihan hyvä juttu, vai onko?

Hakkeroinnin moni ymmärtää liitettävän tietomurtoihin. Hackathoneissa ei tapahdu hakkerointia, vaikka englanniksi siellä jopa kehoitetaan englanniksi ’happy hacking’. Tämä on oma mielipiteeni ja aiheeseen on otettu joskus aiemminkin, kauan aiemminkin, kantaa ja esim. hack-termistä voit itse hakea tietoa tai vaikka lukea siitä täältä : ”Meaning of Hack”

Tapahtuman wifi-kielto-varoituksesta käy ilmi tapahtuman luonne eli jos tuot esim. wifi access pointin niin se tarkoittaa että tapahtumassa on lupa hakkeroida se.
Tapahtumassa oli workshoppeja joissa harjoiteltiin näitä taitoja ja niissä jopa kehotettiin käyttämään omia kännykkä-hotspot wifi accesspointteja. Omaani – ei tietääkseni kukaan ole hakkeroinut. 🙂

Tapahtumaan oli saatu n. 500 osanottajaa, kuultu yhdeltä anonyymilta tapahtuma-järjestäjältä. Twitteristä luin että Holvi-nettikaupan myötä myydyt liput loppuivat n. viikkoa ennen tapahtumaa ja ovella myynti jatkui tapahtumapäivinä. Perjantaina kello 12 ovien auetessa oli jopa ruuhkaa. 🙂
Tapahtumaan esiintyjiä ja workshoppien järjestäjiä oli tullut mm. Suomesta, Italiasta, Yhdysvalloista sekä eräskin osanottaja oli Porista.

Tapahtuma jakaantui kahdelle päivälle. Molemmissa päivissä esityksiäja sekä workshoppeja, joihin pystyi ilmoittauduttiin etukäteen.
Jos jokin esitys ei juuri kiinnostanut niin päivän sai kuluumaan vaikka CaptureTheFlag-haasteen, Illuminati-lautapelin, hacklab.fi:n puuhapisteen, lukkojen tiirikoinnin parissa.

Lyhyesti tapahtuma oli hakkeri-tapahtuma jossa hakkeri tarkoitti jotain kolmesta tietoturvaan liittyvistä hakkeri-arkkityypeistä:

Valkohattu-hakkeri eli hyvis-hakkeri,
Harmaahattu-hakkeri eli sitoutumaton hakkeri,
MustaHattu-hakkeri eli pahis-hakkeri

Tapahtumassa hakkeri-termiä ei juurikaan teroitettu, sitä pidettiin ilmeisesti itsestäänselvyytenä, paitsi eräs ex-mustahattu joka tylytti ja opetti koodaajia.
Hän kertoi esimerkistä jossa protokolla-testaaja-nero ei pystynyt vapaata ajatellua vaativaan työtehtävään saati myöntämään olevansa kykenemätön siihen.
Eli vapaasti toimivia ja ajattelevia hakkereita tarvitaan testaamaan toimien ’epäluotettavina käyttäjinä’ löytämään pahoja vikoja.

En tapahtumassa kuullut yhdenkään mainitsevan sanaa krakkeri, jota kuitenkin on ainakin aikaisemmin käytetty synonyymina ainakin musta-hattu-hakkerista. Itse mieltäisin kaikki ”hattu-hakkerit” krakkereiksi tässä yhteydessä.

Lue täältä lisää hakkerin ja krakkerin eroista. Termi hakkeri ei ole selvästikään helppo, koska heti tapahtuman jälkeen lauantaina kun kuultiin MTV3 uutiset, monet – kuten itsekkin – takerruttiin ”niin sanottuihin hakkereihein”-termiin.

Lyhyitä koosteita muutamista aiheista:

Tapahtumassa oli useita esityksiä, workshoppeja sekä avoimia työtiloja.

Esitelmä: ”All your encrypted computer are belong to us”

Älä luule että tietokoneesi on turvassa jos siinä BitLocker:lla encryptattu kovalevy, salasanasi pystytään lukemaan muistista
Myth Busted: Muistin lukeminen nopean Cold-Bootin jälkeen ei vaadi ’kylmää’ huoneenlämpö käy ihan hyvin
Bios salasana suojaa hiukan
- kuitenkin eräs ”Removee”-merkkisen tietokonevalmistajan bios master-salasanat löytyivät eräästä avoimesta bios-salasanoja sisältävästä palvelusta

Esitelmä/Live-hack: ”Reverse Engineering on Android 101 (Game protocols)”

Erään ”MELKO” suositun kännykkäpelin salattu tiedonsiirto hakkeroitiiin livenä käyttäen tavallista laptop:a melko monimutkaisella työkaluketjulla johon kuului yleisellä tasolla mm.
- proxy server (nodejs)
- server-client sovellukset (frida)
- gdb:n kaltainen debuggaus-toiminallisuus (käyttäen kaikkia edellisiä sekä unicorn engineä)
- ja jonkin verran taustatyötä eli eri reverse-engineering työkaluja
iRobot häviäisi tälle jäbälle 1-0. Ei lisättävää.

Workshop: Webapp Hacking

Kaksi eri vaikeustason omaavaa sovellusta joiden haavoittuvuuksien löytämistä harjoiteltiin (helpompaan pääsy oli hotspot IP-osoitteiden mukaan rajattu)
Helpomman tason tehtäviä sai ’suoritettua’ ihan selaimellakin ilman apu-sovelluksia, lähdekoodia tutkailemalla ja tehden kokeiluja
linkki materiaaliin sekä ohjeistus työkalujen asennuksesta: https://github.com/lokori/disobey

Workshop: OSINT

OSINT tulee sanoista Open Source Intelligence eli avoimiin lähteisiin perustuvaa hyökkäys- tai puolutustiedustelua
esittäjä kävi läpi ison joukon eri OSINT-työkaluja – painottaen koko ajan eettistä näkökulmaa – eli näitä ei pidä käyttää väärin – mm. noita-vainoista varoitettiin:
- Työkaluilla voidaan mm. selvittää ystäväpiirisi, yrityksesi, sosiaalisten verkostojen tietojen kautta, sekä selvittää muuta kohdeympäritöistä avoimista lähteistä olevaa dataa
  - käytetyt tiedot voivat esim. olla kuvat, kuvien gps tieto, facebook-kaverit, serverien https-sertifikaattien alidomain tiedot, hakukonetieto jne.
Esityksen kalvot: OSINT Basics

Yhteenveto

Tapahtuma oli osanottajille maksullinen sisäänpääsymaksu sekä narikkamaksu. Sponsori-vesipullojen lisäksi, muuta ilmais-tarjoilua ei ollut. Yhteen workshoppiin oli komponenttien vuoksi myös lisämaksu.
Esitykset ja workshopit olivat tiivisti järjestetty, lyhyillä n. 5 minuutin tauoilla, mikä harmitti itseä muutaman esityksen jäädessä väliin Maslowin alempien tarvehierarkia-tasojen huutaessa vatsassa. Itseltä meni ohi mm. Unconference-sessiot, joista on erittäin hyviä kokemuksia toisesta tapahtumasta.
Yhteenvetona voin todeta että tapahtuma on tietoturva-alan osaajille varmasti mielenkiintoinen.
Sen lisäksi uskon jokaisen koodaajan sekä testaajan saavan tälläisestä tapahtumasta lisää ideoita ja osaamisen kehittämistä työhönsä.
Lyhyesti, suosittelen lämpimästi ja ennakkoluulottomasti.

Linkkejä

Tapahtuman virallinen sivu – https://disobey.fi
Disobeyn teaser-pähkinän walkthrough – https://docs.google.com/document/d/1iXD6CmQFG0cRkjgJOao2EeDeizEiMf-JJCjMMVv0CIc/edit
Tapahtuman youtube kanava – https://www.youtube.com/channel/UCOtuVFYdy-Bu0zQ0rRyhQzg
Reaktor laati tapahtumaan oman ennakko-pähkinänsä – http://disobey.reaktor.com
- jota itsekkin kokeilin pääsemättä 2 tasolle. Tasoja oli ilmeisesti 7 kaikkiaan. 🙂
illuminati-lautapeli : https://boardgamegeek.com/boardgame/859/illuminati
MTV3 >> 06:00 : https://www.katsomo.fi/#!/jakso/33001017/uutislahetykset/852722/lauantai-13-1-klo-1900

P.S. Tapahtumassa annettiin badge, johon liittyi yhteisöllinen pähkinä. Badgen tekemiseen on selvästi käytetty aikaa ja rakkautta.

kuva: Itse en tämän pidemmälle pähkinän selvittämisen kanssa päässyt: video
https://github.com/disobeyfi/badge-2018 (ehkä badgen koodit ja schema julkaistaan kuten 2017 badge koodit ja schema)

P.P.S. Yksin matkustaessa Onnibus + AirBnB yhdistelmä oli sangen mukava jälleen kerran. Suosittelen molempia.