Av Thomas Gøytil
Fra 3. til 11. august, foregikk det vi i sikkerhetsmiljøet kaller "Hacker Summer Camp" i Las Vegas, Nevada. Hacker Summer Camp er en samling av flere konferanser som foregår enten samtidig eller rett etter hverandre. Dette er den store årlige begivenheten hvor en betydelig del av det internasjonale sikkerhetsmiljøet samles for å presentere, diskutere og sosialisere. Det er flere konferanser som foregår samtidig, de tre største av disse er:
Black Hat USA (3.-8. august) - https://blackhat.com/us-24/
Bsides Las Vegas (6.-7. august) - https://www.bsideslv.org/
Def Con 32 (8.-11. august) - https://defcon.org/html/defcon-32/dc-32-index.html
Black Hat hadde i år ca. 20 000 deltakere, og Def Con har tidligere hatt opp mot 30 000 deltakere. Så det er trygt å si at en stor del av det internasjonale sikkerhetsmiljøet samles i Las Vegas denne uken.
I Semaphores pentesting-avdeling, TSA (Tailored Security Assessment), følger vi nøye med på hva som skjer på Hacker Summer Camp. Vi følger tett med på nyhetssaker som slippes om nye teknikker vi kan legge til i verktøykassen vår for å hjelpe våre kunder med å avdekke mulige sikkerhetsfeil. Vi liker også å se hvilken forskning andre i miljøet gjør for å hente inspirasjon til vår egen forskning.
Dette er en oppsummering av de sakene som har dukket opp på vår radar og fanget vår interesse.
For oss som jobber med web-applikasjonssikkerhet er det alltid spennende å se hva selskapet Portswigger vil presentere på Black Hat og Def Con. For de som ikke er kjent med dette selskapet, lager de verktøyet Burp Suite, som brukes av mange pentestere som gjennomfører tester relatert til web, API og mobil. I år hadde de ikke bare ett foredrag, men hele tre. En av de tingene som er spennende med forskning fra PortSwigger er at de som regel slipper oppgaver relatert til temaet i et simulert miljø, slik at man kan lese bloggpostene og deretter få direkte hands-on trening med den nye teknikken eller metoden som blir presentert.
Det første foredraget fra PortSwigger var med James Kettle og hadde tittelen "Listen to the Whispers: Web Timing Attacks That Actually Work". James presenterte en ny metode for å gjøre timing-angrep mer praktisk gjennomførbare. Det James har oppnådd her er ganske imponerende og det virker som han har åpnet døren for en rekke nye timing-angrep i fremtiden. Talken hans er publisert i en bloggpost som du kan lese her: https://portswigger.net/research/listen-to-the-whispers-web-timing-attacks-that-actually-work
Sammen med bloggposten har han også sluppet en liten CTF-oppgave som er tilgjengelig på https://listentothewhispers.net/ for dere som ønsker å teste ut teknikken i en lab-setting.
I et annet foredrag, med tittelen "Splitting the Email Atom: Exploiting Parsers to Bypass Access Controls", presenterte Gareth Heyes fra Portswigger en metode for å utnytte encoding i e-postadresser. Denne teknikken kan få en e-post til å bli validert som tilhørende et visst domene (f.eks. example.com), mens den faktisk blir sendt til et helt annet domene (f.eks. attacker.com). Dette kan få store konsekvenser dersom et system automatisk gir administratorrettigheter eller lignende til en adresse som tilhører et spesifikt domene. Sammen med foredraget ble det også publisert en bloggpost og en lab som man kan prøve seg på. Begge er tilgjengelige her: https://portswigger.net/research/splitting-the-email-atom
Siste foredrag fra Portswigger var fra Martin Doyhenard som hadde tittelen "Gotta Cache 'Em All: Bending the Rules of Web Cache Exploitation" hvor han snakket om Web cache deception. Web cache deception er en teknikk for å lure en cache server til å lagre sensitiv informasjon under en URL som blir lagret i cachen, slik at angriper kan hente ut denne informasjonen fra samme URL. I talken sin viser Martin et par nye triks for å muliggjøre nye varianter av web cache deception. Det ble også her sluppet både en detaljert bloggpost og flere laboppgaver som man kan finne her: https://portswigger.net/research/gotta-cache-em-all
Et annet foredrag av interesse er det av sikkerhetsforskeren Orange Tsai. Han har publisert en bloggpost om foredraget hvor han har gravd seg dypt ned i kildekoden til Apache HTTP Server og oppdaget hele 9 CVE-er. Det er ganske imponerende å finne så mange CVE-er i et så etablert prosjekt som Apache HTTP Server. Samtlige av CVE-ene har det blitt sluppet oppdateringer for å fikse, så hvis bedriften din kjører Apache HTTP er det viktig å installere nyeste patcher. De tekniske detaljene er beskrevet i en bloggpost av Orange Tsai, og kan leses i sin helhet her: https://blog.orange.tw/2024/08/confusion-attacks-en.html
Ingen konferanse er komplett i dag uten å diskutere AI, og dette er også et tema vi er opptatt av innen IT-sikkerhet. AI medfører mange spennende sikkerhetsutfordringer som vi gjerne diskuterer. Michael Bargury presenterte på Black Hat problemer med Microsofts Copilot AI. Han påpeker at en stor del av problemene med Copilot skyldes at standardinnstillingene er usikre og legger til:
“As Copilot bots frequently have access to internal company data and sensitive documents, it's a matter of figuring out how to fool or prompt them into disclosing that data, we're told.”
Noe av innholdet i forskningen hans kan leses i et intervju her: https://www.theregister.com/2024/08/08/copilot_black_hat_vulns, men for fullstendig innhold må vi vente på at videoen av foredraget slippes.
En tradisjon under Hacker Summer Camp er utdelingen av Pwnie Awards. Dette er en prisutdeling som feirer prestasjonene og feilene til sikkerhetsforskere og sikkerhetsmiljøet. De fleste i sikkerhetsmiljøet har sikkert fått med seg problemene CrowdStrike hadde 19. juli i år (https://www.nrk.no/urix/alvorlige-dataproblemer-verden-over-1.16970474). I år gikk dermed prisen for "most epic fail" til CrowdStrike for nettopp disse problemene. TechCrunch har skrevet en artikkel om prisutdelingen her https://techcrunch.com/2024/08/11/crowdstrike-accepts-award-for-most-epic-fail-after-global-it-outage, og jeg må innrømme at jeg synes det er meget sporty av CrowdStrike å stille fysisk opp og ta imot prisen, samt innrømme sine feil.
I en annen interessant talk, som også har en tilknyttet bloggpost, skriver sikkerhetsforskere fra selskapet Aqua om et par sårbarheter de har funnet i Amazons skyløsning, AWS. Denne forskningen er ganske spennende, og jeg tror vi vil se lignende sårbarheter hos noen av de andre skyleverandørene i fremtiden. Det er fascinerende å se hvordan den samme teknikken fungerer mot flere tjenester. Bloggposten er svært detaljert og obligatorisk lesning for oss som jobber med sikkerhet i skyen: https://www.aquasec.com/blog/bucket-monopoly-breaching-aws-accounts-through-shadow-resources/
I en annen talk fra Def Con (https://defcon.org/html/defcon-32/dc-32-speakers.html#54441), presenterte to sikkerhetsforskere en gjennomgang av hvordan man kan ta over IoT-enheter som støvsugere og gressklippere fra selskapet Ecovacs. De demonstrerte flere metoder for å utnytte sårbarheter i disse enhetene, noe som potensielt kan gi angripere full kontroll over dem. Funnene deres belyser alvorlige sikkerhetsproblemer med IoT-enheter og understreker behovet for bedre sikkerhetstiltak i slike produkter. Du kan lese mer om deres oppdagelser i følgende artikkel publisert av TechCrunch - https://techcrunch.com/2024/08/09/ecovacs-home-robots-can-be-hacked-to-spy-on-their-owners-researchers-say/ .
Dette er en talk jeg ser frem til blir sluppet på video slik at man kan se presentasjonen. Som forbrukere har vi en tendens til å være litt ukritiske til hva vi tar inn i hjemmet vårt, men samtidig bør det ikke være nødvendig at alle er eksperter på sikkerhet for å kunne kjøpe et IoT-produkt.
Hvilke talks ser du frem til å se i etterkant? Virker noe av dette relevant for din bedrift? Er det noen forskningsfunn eller presentasjoner som du mener bør få mer oppmerksomhet? Legg gjerne igjen en kommentar på artikkelen eller send meg en melding! 😊
Vi ser frem til at talkene fra Hacker Summer Camp 2024 blir tilgjengelige for strømming, slik at vi kan organisere en intern fagdag og ser de mest spennende foredragene fra årets Hacker Summer Camp.
留言