Sikkerhetssymposiet 2015

Sikkerhetssymposiet 2015 gikk nettopp av stabelen i Bergen, i regi av Den Norske Dataforening, for tredje året på rad. Vi er som vanlig med for å få med oss hva som rører på seg i sikkerhetsbransjen.

Symposiet ble holdt på Radisson Blu Royal Bryggen og som årene før ble vi først presentert et felles innledningsforedrag, ble så det delt opp i to spor med hvert sitt tilhørende rom, et med  fokus på Maskin og teknologi og et annet på Menneske og prosess,  til slutt et felles Avslutningsforedrag. Undertegnede valgte spor 1 og skal her prøve å komme med en oppsummering og  noen tanker rundt noen av foredragene.

 

Hva vokter Riksrevisjonen?
Per-Kristian Foss, Riksrevisjonen

Per-Kristian Foss tok litt tid vekk fra sin travle hverdag til å snakke for oss om (mis-)bruken av informasjonssystemer, hvilken rolle Riksrevisjonen spiller og det nye kontra det gamle trusselbilde.

Han satte fokus på mengden informasjon vi legger ut på nettet når vi samtykker til bruken av f.eks sosiale medier, som igjen brukes til kommersielle formål skreddersydd mot deg som enkeltperson. Det ble gått igjennom hvem som passer på oss og på hvilken måte, noen av dem er Datatilsynet og Nasjonal Sikkerhetsmyndighet.

Noe av det mest interessante var når han fortalte om hva Riksrevisjonen faktisk driver med og noen av funnene belyst i Riksrevisjonens rapporter.

Alt i alt så var dette et veldig spennende innblikk i Riksrevisjonens hverdag, og Per-Kristian Foss sine betraktninger.

 

Allerede gått ut på dato?
Erlend Oftedal, F-Secure

Erlend Oftedal lanserte og viste frem Retire.js på Sikkerhetssymposiet 2013 og er nå tilbake for å «skremme» oss til å sjekke bibliotekene våre. Han viste frem live hvordan hackere bruker sårbarheter i gamle biblioteker til å få tilgang til system, han viste frem blant annet i samtid hvordan bruke en sårbarhet i en eldre versjon av Apache Struts til å få systemet til å gi fra seg informasjon.

Han viste oss hvordan han hadde brukt Retire.js og andre verktøy til å danne et bilde av hvor mange sider som kjører med eldre og da potensielt sårbare biblioteker, jeg kan røpe at det var litt skummel statistikk.

Det ble gitt 3 spørsmål som en burde stille seg selv hvis man har ansvaret for ymse biblioteker til webapplikasjoner:

  • Hvor ofte går man igjennom og oppdaterer?
  • Hvor raskt kan vi oppdatere hvis vi må?
  • Hvordan vet vi at vi må oppgradere?

 

Hacking i 2015 – Fra null kontroll til total dominasjon
Chris André Dale, Netsecurity

Chris André er en kjent skikkelse i sikkerhetsmiljøet og det var en glede å se hans engasjement mens han spilte rollen til Moriarity som skurk, på lik linje som Erlend så hadde en en live fremvisning av hvordan en hacker benytter seg av enkle verktøy og metoder for å trenge inn i et system, og heldigvis hvordan man beskytter seg mot angrepene.

Han viste blant annet hvordan man kan bruke Burp Suite til å kjøre systematisk passord angrep og hvordan få ut passord fra minnet ved hjelp av Mimikatz.

Kanskje det viktigste for oss som jobber eller har med utvikling i hverdagen var tipsene for hvordan beskytte seg mot angrepene har viste:

  • Brannmur og antivirus
  • Principle of least privilege
  • Secure Systems Programming
  • Oppgrader systemene, også interne

 

Security Testers Toolkit
Niall Merrigan, Capgemini

Vi fortsetter i samme sporet og får denne gang presentert frem verktøy som er gode å ha med seg i verktøykassa når en skal drive med sikkerhetstesting.

Han startet først med å lure publikum (undertegnede inkludert…) til å gå inn på en nettside han hadde laget slik at vi «kunne sjekke den for sårbarheter», i virkeligheten så var han ute etter å lære oss en viktig lærepenge. Siden hans hadde nemlig et script som lot han bruke et verktøy kalt BeFF til å kunne sende innhold og kommandoer til enhetene som var tilkoblet siden. Men han stoppet ikke der, han hadde også satt opp falske trådløse nett ved hjelp av Wifi Pineapple for å lure inn intetanende gjester på symposiet til å gå inn på. Lærepengen her kan ha være at alle kan bli lurt eller angrepet.

Niall slang seg på trenden og hadde en liten demo av hacking i praksis, det ble blant annet vist frem hvordan Shodan brukes til å finne sårbare enheter rundt omkring på nettet.

 

Biometrics in a Mobile world
Christoph Busch, Høgskolen i Gjøvik

Dette foredraget skilte seg litt ut fra de tidligere foredragene, Christoph ga oss en intro til vitenskapen bak Biometrics og noen av erfaringene han og hans kolleger har gjort på området rundt biometri.

Han mener at ID-kort kan være svært upraktiske, han ga frem 3 eksempler på hva man kan bruke som identifikasjon\nøkkel for å åpne f.eks en dør:

  • Noe du vet
  • Noe du eier
  • Noe du er

Christoph mener at det siste alternativet er bedre enn de første og gikk gjennom noen eksempler på hvordan vi faktisk kan bruke hva vi er som identifikator. Fingeravtrykk kan brukes og er i dag brukt på f.eks mobile enheter som et alternativ til passord, problemet her, som han viste, er at det er relativt enkelt å få tak i noens fingeravtrykk (f.eks fra en mobiltelefon) ,lage en falsk finger (av f.eks gelatin) og på den måten lure fingeravtrykkleseren. Det ble også vist frem forsøk gjort hvor øyet (Iris) blir brukt som identifikator, først ved hjelp av et stillbilde som sammenlignes og så ved å ta flere meget små filmklipp av øyet til brukeren, det viser seg også her at det er mulig å lure avleseren, dog vanskeligere.

Christoph la frem problemstillingene knyttet til lagring av fingeravtrykk etc. og diskuterte modenheten for bruken av slike metoder som identifikatorer.

 

Avslutningsforedrag: Informasjonssikkerhet; en forutsetning for nasjonal verdiskaping
Roger Johnsen, NorSIS

Roger Johnsen fra NorSIS holdt det siste foredraget og da var undertegnede litt trøtt og sliten, men Roger visste hvordan å fange publikum!

Hans engasjement var ekte og det var en opplevelse å få med han spre budskapet sitt, budskapet er likt det til Niall, nemlig at det ikke nytter å tenke at det bare er idioter som blir lurt på nettet, han ville ikke bruke uttrykket «Social Engineering» om det personer gjør for å lure folk, men heller kalle en spade for en spade og si rett ut at det er manipulasjon av mennesker. Han la frem hvordan IT har på veldig kort tid ført folk sammen,utstyret som brukes for kommunikasjon blir bedre og billigere, det blir med andre ord lettere å få kontakt i dag enn det det var før.

Dette har gjort det enklere for uærlige personer til å lure til seg penger fra andre mennesker over nettet, det ble delt mange hjerteskjærende historier fra virkeligheten hvor dette har skjedd. Men igjen, det viktigste her er budskapet at vi ikke skal dømme offeret for å ha «latt seg lure», man burde heller tenke «Det kunne vært meg!»

 

Oppsummering

Sikkerhetssymposiet skuffet heller ikke i år og det var et imponerende program med meget dyktige foredragsholdere og ikke minst innhold. Vi fikk et innblikk i hvordan hacking gjøres, hvilket verktøy som brukes, hvordan beskytte oss, masse gode refleksjoner og en generelt god opplevelse.

Sikkerhet var et viktig tema når symposiet først startet og det har ikke blitt mindre viktig, heller tvert om, det er veldig bra at Den Norske Dataforening setter fokus på dette og vi kommer gjerne igjen 🙂

 

Facebooktwittergoogle_pluslinkedinmailFacebooktwittergoogle_pluslinkedinmailby feather