Vårt delingshjørne
9. september 2022
Onsdag 10.08 var vi fire spente kolleger fra Alv som satte oss på flyet mot Las Vegas. Vi var på vei til Defcon, og det var første gang for alle fire. Vi hadde både lest og hørt mye om konferansen. Her er vårt reisebrev!
Torsdag var registreringsdag etter en lang reise. Vi hadde heldigvis forhåndsregistrert oss, så vi slapp den lengste køen. Køen for de som kjøpte på torsdag kan du se i videoen under, alt utenom den ene linja med kø vi stod i, er kø for betaling i døra.
Se video fra Defcon i denne videoserieepisoden:
Fredag begynte konferansen på ordentlig. Konferansen er i all hovedsak delt opp i talks, noen som man kan se i ettertid og noen du må være i rommet for å høre. Sistnevnte er ofte der du får høre de heftigere historiene. I tillegg er det Villages. Villages er rom hvor det er ett tema for rommet. Noen av temaene i år var hacking av biler og hacking av IoT-devicer. Det vi hadde sett oss ut på forhånd, som vi ønsket å starte med, var å gå til Social Engineering Village.
Vishing & angrepskode av emojis
I Social Engineering Village hadde de fredag morgen det som kalles Vishing Competition Calls. Det er en konkurranse hvor deltageren på forhånd (tror vi) får vite hvilket selskap de skal forsøke seg på, slik at det kan gjøre litt research. Når de skal konkurrere blir de satt inn i en boks som er ganske lyddempet. Der får de headsett, blir filmet, og har 25 minutter på seg. De sier til crewet hvem som skal ringes, og forsøker å fiske ut ulike typer informasjon via telefon. Eksempler på informasjon de skulle hente ut i år var “hvilken anti-virus løsning bruker selskapet”, “hvor mange vakter er det på det kontoret, og hvor lenge er de tilstede” og “gå til nettside www.some-strange-website.com”. De var naturligvis veldig flinke, så de fikk gjerne til de fleste av målene.
Fredag hørte vi også på ett foredrag om hvordan lage angrepskode utelukkende bestående av emojis, og det hadde ført til at de ødela en printer, ett windows OS og diverse andre ting for seg selv mens de utvikla angrepskoden. Videre utover dagen ble det en tur innom Lockpicking Village hvor vi fikk prøve hvor enkelt det kan være å dirke opp hotelldører og heisdører. Vi var også innom Car Hacking Village, AI og et par andre, som var mer satt opp for at man skulle sette seg ned med PC og jobbe på ting. Til slutt var vi på ett foredrag om et verktøy for å hacke og hente ut informasjon fra Azure, absolutt et verktøy det vil være nyttig å ha i verktøykassen når vi skal gjøre pentrasjonstester fremover.
DET ÅPNE NETTVERKET ER SELVFØLGELIG IKKE TRYGT, OG ALLE SOM LOGGER INN PÅ STEDER UTEN KRYPTERT KOMMUNIKASJON MENS DE ER KOBLET TIL DETTE TRÅDLØSE NETTVERKET HAVNER PÅ WALL OF SHEEP
Vi startet lørdagen med å se på hvordan bruke Power Automate som Command and Control-Center. Windows 11 har integrert Power Automate i OS'et, så det må bare enables før man kan bruke Power Automate fra skyen for å styre maskinen. Foredragsholder hadde laget ferdige Power Automates for å hente ut data fra maskinen, kjøre kode, kryptere filer med Power Automate, med mer. Det kanskje mest interessante med denne angrepsvinkelen er at siden Power Automate er integrert med Windows 11, så er det høyt sannsynlig en effektiv måte å komme seg forbi brannmur, anti-virus og andre beskyttelsesmekanismer på en ganske enkel måte. Det skal bli spennende å se om dette blir utnyttet i større skala fremover.
Deretter gikk vi for å høre på historien til en av de fire som i USA klarte å gjennomføre rickrolling mot et helt skoledistrikt. Fasinerende å høre historien hans. Vet du ikke hva rickrolling er, les her (https://en.wikipedia.org/wiki/Rickrolling).
Wall of Sheep - Skammens liste
Nå var turen kommet for å gå innom legendariske Wall of Sheep. Kort forklart tilbyr Defcon tre ulike WiFi nett, hvorav ett er åpent. Det åpne nettverket er selvfølgelig ikke trygt, og alle som logger inn på steder uten kryptert kommunikasjon mens de er koblet til dette trådløse nettverket havner på Wall of Sheep i form av at brukernavn, de tre første tegnene i passordet og nettstedet blir postet i lista. Rett og slett en skammens liste, og heldigvis hadde vi holdt oss langt unna både lista og dette åpne WiFi-nettverket.
Resten av dagen gikk med til å forsøke og gå innom en del andre Villages (Red Team, Advisory, Cloud med fler), men de fleste hadde så lange køer at vi droppet de.
Søndag hørte vi først på en nordmann som har laget et verktøy for å dumpe alt du kan nå fra Teams. Altså hvis du klarer å få logget inn i Teams med en bruker, så kan du bruke dette verktøyet for å dumpe alle filer, e-poster, brukere, chat-historikk og annet denne brukeren har tilgang på. Ganske kult og ganske effektivt, for det er ganske brede tilganger til informasjon man har i Teams. Bredere enn de fleste tenker på i hverdagen.
Resten av søndagen gikk med til å høre et par foredrag til, og å gå innom de villagene vi ikke hadde fått besøkt lørdag eller fredag. Oppsummert vil jeg si at høydepunktene var å høre på Vishing Calls, lære om angrep via Power Automate og mot Teams, samt selvfølgelig historien om rickrolling.
Alt i alt var det fire slitne alver som satt seg på flyet mandag morgen, samtidig hadde vi fått masse inspirasjon, lært mye og hatt det veldig moro. Og vi er klare til å ta med oss denne lærdommen og inspirasjonen inn i oppdrag hos våre kunder utover høsten!