Defcon dag 1 och 2

2018-08-11

Defcon pågår och Certezza har nu varit på de två första dagarna av konferensen

Det är först andra dagen på Defcon de större föreläsningarna börjar, den första dagen handlar mest om att registrera sig och besöka montrar, vissa villages samt Defcon 101 föreläsningar. Defcon 101 föreläsningar är för de som inte har lika mycket erfarenhet eller är intresserade av ett nytt område, dvs på dessa släpps det normalt inte ny information. Defcon anordnas för andra året på Ceasars Palace och förra året var det ungefär 25000 besökare. Det är tre stycken huvudspår på konferensen men med alla villages och andra salar är det ofta runt 20 stycken paralella föreläsningar. En village är ett område som fokuserar på ett specifikt område, ofta står det utrustning framme som man kan undersöka och skruva på.

En generell reflektion är att det är svårt att veta i förväg vilken föreläsning som kommer vara mest givande. Vissa föreläsare är ovana presentatörer eller har svårigheter med språket. En del presentationer kan även lämna en del I övrigt att önska när det gäller innehållet, ibland lägger de för mycket tid på grundläggande information så att det knappt finns tid kvar när de kommer till nyheterna. Det finns även de som är bra och intressanta men som fått betydligt mer tid än vad de behövt samt några som knappt hann igenom sitt material. Generellt är dock kvaliten på föreläsningarna god.

Social Engineer Village

I Social Engineer Village handlar allt om hur man kan tillskansa sig information genom att lura användare att dela med sig den på ett sätt eller annat. Det kan röra sig om att skicka e-post som ser legitim ut, ringa från ett fejkat telefonnummer eller bara gå in i en reception.

Under DEFCON genom förs en tävling där deltagarna tilldelas ett stort amerikanskt företag och sedan ska få representanter från dessa att utföra handlingar eller uppge information. Deltagarna har en lista med flaggor vilka ger olika poäng och de har 20 minuter på sig att ta så många poäng som möjligt. Det var mycket intressant att se de olika teknikerna som användes det blev slående uppenbart hur vikigt det är att inte bara tänka på IT-säkerhet som ett tekniskt problem utan även ett mänskligt.

Det finns inga enkla lösningar men alla verkar överens om att ett robust träningsprogram för alla anställda krävs om man vill skydda sig från denna typen av angrepp.

Who Controls the Controllers—Hacking Crestron IoT Automation Systems

Creaston har ett stort antal IoT produkter, de är möjliga att konfigureras säkert men som standard är många säkerhetsfunktioner är deaktiverade och nästan ingen av de som installerar produkterna konfigurerar dem korrekt. De går som standard att logga in remote på dem som en sanxboxad användare med begränsade rättigheter men de hittade såbarheter för att få full access till enheten. De demonstrerade hur de hackade en modell så att den spelade in video via dess kamera utan att det på något sätt syntes att enheten gjorde det. Dessa produkter finns bland annat i hotellrum för att styra exempelvis gardiner, ljus och liknande.

I’ll See Your Missile and Raise You A MIRV: An overview of the Genesis Scripting Engine

Alex Levinson och Dan Borges berättade om GSCRIPT (Genesis Scripting Engine), en scriptmotor byggd för att vara robustare än andra motorer så som JavaScript, Python och Lua.

Fördelarna med GSCRIPT innefattar att den fungerar på flera stora plattformar så som Windows, mac OSX och Linux. Det är då möjligt att skapa exekverbara filer till olika operativsystem från samma programmeringskod. Den har även obfuskeringsmöjligheter.

Som exempel packades flera skadliga skript till en binär fil. När binären sedan kördes utsattes användaren för bland annat ett phising försök med en lösenordsruta samt att en bakdörr installerades på datorn.

Vulnerable Out of the Box: An Evaluation of Android Carrier Devices

Ryan Johnson och Angelos Stavrou från Kryptowire presenterade under fredagen sitt forskningsresultat där de analyserat några operatörers Android telefoner som kommer med förinstallerade appar.

Resultatet visade att flera stora företag som Asus, LG och ZTE har modeller från USA-baserade operatörer som kommer med förinstallerade applikationer som är sårbara.

Sårbarheterna kan utnyttjas utav tredjeparts program där en angripare t.ex. kan läsa telefonens innehåll, fabriksåterställa och i värsta fall få den att sluta fungera.

One click to OWA

William Martin pratade om att det ibland finns vägar runt MFA-autentisering och ett exempel är Exchanges webapplikationer. MFA täcker bara OWA men lämnar kvar men lämnar kvar andra tjänster med standardautentisering, är dessa tillgängliga utifrån så kan man med stulna eller knäckta inloggningsuppgifter komma åt ett mailkonto även om MFA är aktiverat, även i O365.

En sådan tjänst är EWS, Exchange Web Management Services API, som snurrar på samma server som OWA. William hade även byggt ett verktyg för inloggning mot EWS som liknade OWA-klienten och som gav full access till den angripne användarens mailbox med i princip samma funktioner som i orginalklienten.

Bypassing Port-security in 2018: Defeating MacSEC and 802.1x-2010

Gabriel Ryan från Digital Silence pratade om port-security och 802.1x och hur de teknologierna kan åsidosättas. Även om i princip alla tillverkare har stöd för 802.1x så finns fortfarande stöd för svag EAP implementation, som också i många fall är standardinställningen.

Gabriel hade också byggt en automatiserad nätverksväxel för att kunna fånga upp 802.1x förhandlingen mellan en klient och servern för att stjäla och utnyttja klientens 802.1x credentials för att erhålla nätverksaccess.

The L0pht Testimony, 20 years later.

I princip alla medlemmar i hackerkollektivet L0pht Heavy Industries, som för 20 år sedan vittnade om hur dålig säkerheten var på flertalet publika- och myndighetstjänster inför senaten, pratade mer om hur det blev så och vad som skedde kring kulisserna inför det vittnesmål som skulle lägga grunden till USAs myndigheters IT-säkerhetsarbete.