Defcon dag 4

2018-08-13

Certezza rapporterar från fjärde och sista Defcon dagen

Nu är vi inne på Defcons sista dag, de större föreläsningarna pågick till ungefär klockan 16 och sedan var det dags för avslutningsceremonin.

GRIMM’s Smart House Capture the Flag

Säkerhetsföretaget GRIMM anordnade under helgen en så kallad CTF (Capture the Flag), en tävling som vanligvis går ut på att lösa problem eller utmaningar och på så vis samla poäng.

Den aktuella tävlingen gick ut på att angripa ett smart hem vilket byggts upp i en modell, flaggorna utgjordes av svårgissade textsträngar vilka skulle fyllas i på tävlingens hemsida. Huset var fullproppat av olika IoT-enheter (Internet of Things) vilka utförde olika uppgifter i hushållet. En flagga var till exempel gömd i den smarta frysens inventeringssystem, en annan var man tvungen att öppna modellhusets garageport för att kunna se.

DEFCON är fullt av denna typen av utmaningar vilka utmanar deltagarna att vässa sina färdigheter i att angripa, eller för den delen försvara, olika typer av system.

barcOwned—Popping shells with your cereal box

Ett riktigt intressant föredrag som tog upp en attackvektor som de flesta verkar ha missat, nämligen streckkoder. De flesta scanners för streckkoder kan ofta inte bara läsa streckkoder utan även programmeras med hjälp av dem. Funktionaliteten går inte alltid att stänga av och föreläsarna visade att även om det går kan en annan streckkod återaktivera funktionaliteten. Under föredraget demonstrerades hur det är möjligt att köra kommandon på kassasystem med hjälp av egenskrivna streckkoder. Verktyget från presentationen finns tillgängligt under länken https://barcowned.com där man även kan skapa egna streckkoder.

Edge Side Include Injection: Abusing Caching Servers into SSRF and Transparent Session Hijacking

Presentationen påvisade sårbarheter i ESI (Edge Side Include) vilket är ett språk som används av applikationsservrar mot cachande servrar. Det är implementerat i nästan alla cachande servrar, exempelvis Akamai, Varnish, Squid, Fastly, WebSphere, WebLogic och F5. Språket går att använda för att utföra Server Side Request Forgery, frångå Cross Site Scripting-filter och stjäla cookies, inklusive sådana som har HTTPOnly aktiverat.

Lost and Found Certificates: dealing with residual certificates for pre-owned domains

När du köper en domän kan en tidigare ägare ha utfärdat ett SSL-certifikat för domänen vilket fortfarande är giltigt. Föreläsarna hade undersökt miljontals domäner och hittat flera tusen exempel där en tidigare ägare fortfarande hade giltiga SSL-certifikat för domänen, detta långt efter att den bytt ägare.  Som motmedel släpptes verktyget BygoneSSL vilket med hjälp av publik data upptäcker utsatta domäner. Mer information om verktyget finns på https://insecure.design/

Your Watch Can Watch You! Gear Up for the Broken Privilege Pitfalls in the Samsung Gear Smartwatch

Föreläsarna hade gjort en applikation för Samsungs klocka vilken kunde använda sårbarheter för att komma åt exempelvis mail och annat som deras applikationen inte skulle haft rättigheter till.