Brute force, lyd-analyse og gætteleg: Sådan klarede Politikens udvikler FE's hackertest

Illustration: Virrage Images/Bigstock
Forsvarets Efterretningstjeneste har stillet en hackeropgave i forbindelse med rekruttering, som Politikens redaktionelle udvikler har fundet vej igennem. Dog ikke på den 'rigtige' måde.

Som led i en rekrutteringsproces har Forsvarets Efterretningstjeneste lanceret en optagelsesprøve, som har skullet give potentielle statsansatte hackere mulighed for at vise deres værd. Jobbeskrivelsen handler om at være i stand til at angribe og spionere på fremmede statsmagter og terrororganisationer, fortæller Politiken.

Mediet har fået den idé at sætte sin redaktionelle udvikler, Emil Bay, til at prøve kræfter med med den statslige hackerudfordring, og det er der kommet en relativ teknisk og detaljerig fortælling ud af.

Udgangspunktet var et billede af en person med skjult ansigt i hættetrøje, hvor der blandt andet stod: Har du det, der skal til for at blive en del af en hemmelig eliteenhed?«

Emil Bay kiggede i koden bag billedet og fandt frem til en umiddelbart meningsløs kodekommentar 'JS/koyPrmif2M'. Efter at have prøvet forskellige teknikker på tekststumpen, kørte han den igennem et lille program kaldet HashTag. Programmet fandt frem til, at der nok var tale om DES-kryptering. Herefter tog det 13 minutter på Bays MacBook Pro at brute force sig frem til, at der bag tekststumpen gemte sig et telefonnummer.

ASCII

Et opkald til nummeret resulterede i en FAX/modem-lyd. Eller data kodet i lydformat, som Email Bay bemærker. Han skrev nu et lille program, der kunne udføre spektralanalyse, hvilket afslørede bånd af prikker med 7 lodrette enheder i hvert bånd.

»Jeg formodede på baggrund af tallet 7 straks, at vi var ude i noget med det binære ASCII-system. Forestil dig, at en prik svarer til et 1-tal eller 0. Det kalder vi en bit i computersprog. Normalt går der 8 bit på en byte, som er den fundamentale enhed i computere, men i det gamle ASCII-system bruger man kun 7, og efter at have konstateret, at vi her har at gøre med ASCII, var det bare at gå i gang med at analysere hvert bånd. De lyse prikker repræsenterer et 1-tal, de mørke et 0,« fortæller Emil Bay i Politiken-artiklen.

Han analyserede hele filen igennem og fandt frem til en serie af ASCII-tegn, som blandt andet indeholdt et link. Det førte til et python-script og en binær black-box-fil. Scriptet var en launcher til den binære fil. For en sikkerheds skyld kørte Emil Bay dem i en sandbox. For at finde ud af, hvad den binære gemmer på, kunne den disassembles, som Bay kalder det. Men det droppede han.

»Eller, man kan godt ’disassemble’ programmet, men kun uden at bibeholde kodens originale struktur, så den vej kan være ekstremt tidskrævende, hvorfor jeg i første omgang valgte at gå uden om den mulighed,« fortæller han til Politiken og fortsætter:

»I stedet blev det lidt af en gættekonkurrence igen. Da jeg kørte programmet, spurgte den med det samme efter en nøgle og ved at analysere programmets opførsel, når jeg prøvede mig frem, indså jeg, at nøglen måtte være et link til en jpg-fil – altså et billede.«

Ny billedfil

Emil Bay gættede sig frem til, at nøglen var logoet fra FE's hjemmeside. Det kom der en ny billedfil ud af. Den nye fil viste sig at gemme på en ny besked:

»Wow you did it. We really want to get to know you. Please call this number +45 51246301 and give us your contact info and we will get back to you asap.«

Og det var det. Politiken har været i kontakt med FE før udgivelsen af artiklen. Efterretningstjenesten bemærkede, at den vej, Emil tog i det tredje lag, ikke var den korrekte. Ansøgere med ’det rette mindset’ ville have brugt tiden på at ’disassemble’ det lukkede program, og analysere sig frem til, at nøglen netop var logoet på hjemmesiden.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Simon Winther

Det er der sikkert adskillige der har, men det er ikke nogen ære at søge ansættelse i STASI.

Jeg er temmelig sikker på, at uanset hvor man er henne ideologisk, politisk eller filosofisk set, så kommer det både dig, mig og Hr. og Fru Danmark til gode, at der sidder kvalificerede og velmenende mennesker og passer et sådant arbejde.

Men vi kan også prøve at nedlægge forsvaret, politiet og regeringen og overlade landet i hænderne på gennemsnitsmoralen.

  • 11
  • 2
#3 Kresten Buch

Efterretningstjenesten bemærkede, at den vej, Emil tog i det tredje lag, ikke var den korrekte. Ansøgere med ’det rette mindset’ ville have brugt tiden på at ’disassemble’ det lukkede program, og analysere sig frem til, at nøglen netop var logoet på hjemmesiden.

Han brød jo igennem - så er det vel super lige meget hvilket mindset han benyttede!?

Tvivler på sikre sine systemer ved at forvente at nogle med mindre reelle hensigter følger ens eget mindset..!?

  • 11
  • 1
#4 Søren Hersdorf

Efterretningstjenesten bemærkede, at den vej, Emil tog i det tredje lag, ikke var den korrekte. Ansøgere med ’det rette mindset’ ville have brugt tiden på at ’disassemble’ det lukkede program, og analysere sig frem til, at nøglen netop var logoet på hjemmesiden.

Et ofte overset problem, er at dem der skal beskytte systemer, ikke har fantasi til at forestille sig de alternative metoder og adgangsveje en uvedkommende kan vælge. Her er der en omhyggeligt og meget kompliceret opgave, designet til kun at slippe dem med det rigtige "mindset" igennem og alligevel kommer der andre igennem.

  • 14
  • 0
#5 Michael Aggerholm

Tænkte det samme. Personen valgte ikke at spilde tid på en dyr dekompileringsproces når man kunne gætte sig til resultatet.

Det svarer lidt hvis forsvaret havde valgt passwordet "password" til et login, og så klantrede personen for ikke at bruge oceaner af tid på kryptografisk analyse af algoritmer og brute force. Det er jo dybest set FE der har lavet opgaven for let

  • 5
  • 1
#7 Nicolai Larsen

Et ofte overset problem, er at dem der skal beskytte systemer, ikke har fantasi til at forestille sig de alternative metoder og adgangsveje en uvedkommende kan vælge. Her er der en omhyggeligt og meget kompliceret opgave, designet til kun at slippe dem med det rigtige "mindset" igennem og alligevel kommer der andre igennem.

Ja, det er bestemt set før. Jeg synes dog ikke det er fair at drage den parallel til formuleringen i denne artikel. En journalist ringer til en leder/medieperson for at "samtale" lidt om testen, og efter lidt smalltalk snakker man om mindset, hvilket journalisten skriver i artiklen som "mindset".

Jeg er ganske sikker på, at den valgte løsning ikke, alene, er ekskluderende for en ansættelse, bare fordi den ikke lige passede til det optimale ønskede mindset. Tror du har læst formuleringen lidt for bogstaveligt, hvor en mediekontakt har forsøgt at svare på journalistens spørgsmål "bedst muligt" i en uformel snak.

  • 1
  • 0
#8 Nicolai Larsen

Han brød jo igennem - så er det vel super lige meget hvilket mindset han benyttede!?

Enig. Opgaven er løst, og jeg forestiller mig også at man i visse situationer (angreb, post-exploitation m.v.) er nødt til at arbejde hurtigt og anvende den "grimme" løsning, bare den virker.

Men jeg tror nu heller ikke at en ansøger ville blive afvist, hvis han løste opgaven som i denne artikel.

  • 4
  • 0
#9 Peter Christiansen

Een af de lettere "Capture The Flag" style opgaver, men de har ret i at han nok ikke ville blive kontaktet, i de fleste CTF konkurrencer skal vinderne lave såkaldte "writeups" for at forklare løsningerne, så her kan man ikke bare komme med far fetched gæt.

hvis man har mod på mere af den slags er der et godt site til at finde officielle hacking konkurrencer, de såkaldte Capture The Flag, eller CTF.

https://ctftime.org/

Hvis man har været med i CTF's bare et par gange, er det FE har leveret, hvad der svarer til en "High School Level CTF", helt standard, så det mindsæt får man ret hurtigt.

Er pr. i gang med: https://compete.sctf.io

Nogen her der er interesseret i CTF's?

  • 3
  • 0
#10 Nicolai Larsen

Hvis man har været med i CTF's bare et par gange, er det FE har leveret, hvad der svarer til en "High School Level CTF", helt standard, så det mindsæt får man ret hurtigt

Hmm, udspringer den opgave her ikke af rekrutteringen til hacker academy? Og stod der ikke i kravet til ansøgere, at man ikke skulle være "for meget hacker", idet de selv ville give oplære i de kvalifikationer? Og så er den vel meget passende til niveauet. :)

  • 0
  • 0
#11 Tine Andersen

At man kun kan løse opgaver på kun éenste måde, som er korrekt! Er det noget, de har lært af NSA?!

Jeg er ikke god til matematik- eller rettere: Det troede jeg! Men der er altså rigtig mange flere måder, man kan løse komplekse (og simple) problemer på, for mig- viste det sig, at det altså ikke altid var lærebogens måde, der fungerede.

Jeg har lige læst en bog om Jacob Barnett (autist- men jeg tror mere aspie)- og, jeg tror hans- og de andre (ikke savanter- men højtbegavede) måde at tænke på, vil skabe en koderevolution. om Temple Grandin- for slagtedyr. d Der er ingen forkert måde, hvis du får det rette res ultat. FET tænker forkert.

(Jeg har selv lært mig en del programmer, hvor læreren sagde, det er sjovt, at have elever, der tænker, udad. Selv syntes jeg, at jeg kunne få alt til at gå ned.... En lille grim evne, som ingen brød sig om).

Mvh Tine- der regner som en fisk Lidt liges

  • 1
  • 2
#14 Peter Christiansen

At man kun kan løse opgaver på kun éenste måde, som er korrekt! Er det noget, de har lært af NSA?!

Tine det handler om at kunne forklare hvordan man har løst opgaven, hvis man kommer med et gæt hvor det bare virker heldigt, er det svært at dokumentere for opgavestilleren at man ikke har snydt og spurgt nogen om svaret.

Det er derfor man i konkurrencer som CTF altid bliver påkrævet at dokumentere løsningen. Man kan til en vis grad gætte på nogle ting, men hvis det er lidt far fetched uden noget resonnement, vil man som regel ikke godkende løsningen.

  • 1
  • 0
#15 Jimmi Thøgersen

Er sådan set enig med dig (og andre), Tine Andersen. At gætte sig frem til svaret springer over dén del, der kræver lidt mere "lateral thinking" end de tidligere dele, der er rimeligt standard metoder inden for dén her slags opgaver. Det er nok dét, der ærgrer FE. Men det er ikke rigtig forkert mindset, når opgaven gør gæt nemt - tværtimod.

Hensigten fra FE var nok snarere bl.a. at rekonstruere billedet ud fra dét array af værdier, der bruges til at tjekke "Fingerprint #1" (ikke svært, det er x, y og 16-bit farveværdi, med x/y tilfældigt sorteret) - og derudfra se, at det tydeligvis var et FE-logo - og eftersom programmet downloader en billedfil, finde den rette at få det til at downloade. Det er sikkert også "forkert", og de vil have én til at arbejde videre med "Fingerprint #2" (endnu en hash) - men hvorfor dog bruge en halv times yderligere gennemgang af assembler-kode på dét, når opgaven allerede er løst?

  • 0
  • 0
#16 Tine Andersen

Mod hackning? Vel?

Hvem siger, hackere "følger reglerne". Ja, I gør, og FET.

Jeg har siddet med nogle progammer. hvor jeg ikkr "kendte den rette løsning"- men tænkte ud af boksen.

Det er da dumt, at tænke - andre ikke gør.

Der er kun "white hats"??

Alene at "Politikens"- løsning er forkert er obfuskeri. Vrøvl.

Mvh Tine- vil hacherne så ligefrem DUMPE...

  • 1
  • 0
#17 Jimmi Thøgersen

Tror nu hverken FE eller nogen her siger, at hackere "følger reglerne" - eller at det at løse en "skattejagt", uanset hvordan man gør det, beskytter mod hacking.

Spørgsmålet er i sidste ende, hvad FE specifikt leder efter. Hvis de leder efter hurtig problemløsning, så er løsningen mere end korrekt. Hvis de leder efter specifikke færdigheder og "lateral thinking", så hjælper gæt ikke meget. Og som Nicolai Larsen påpeger, så ved vi ikke hvad FE reelt har ment med "mindset" hér. Det er en journalists genfortælling uden for kontekst - som det så ofte er.

FE forventer nok blot, at man demonstrerer de færdigheder, der i sidste ende kræves i uddannelsen - uanset at "skattejagten" ikke er helt optimalt stykket sammen og det derfor er muligt at gætte.

At finde et smuthul er en glimrende løsning i praksis - men at skrive "jeg synes det var nemmere at gætte" kan ikke rigtig skelnes fra "jeg kan ikke læse assembler-kode" - og at gætte er nu heller ikke specielt "tænke ud af boksen"-agtigt, hvis du spørger mig.

Og hvis det er en forudsætning at kunne håndtere disassembly, så kommer man - uanset sin fantasifuldhed - ikke specielt langt. Ligesom man heller ikke når langt i litteraturvidenskab, hvis man ikke kan andre sprog end dansk, men kan gætte sig til hvad "In the window at the baker's was a delicious cake" betyder ud en heldig lighed med danske ord.

  • 1
  • 1
#19 Peter Christiansen

Bare brug john the ripper, for at se hvilken hash det er og start bruteforcing med det samme hvis det er en hash lavet af en kendt algoritme.

Start med kun tal i een session og i en anden med alfanumeriske tegn.

f.eks.: ./john --incremental=Digits pwd.txt

Hvor pwd.txt indeholder dine hashes som du vil bruteforce i dette tilfælde en linie med: JS/koyPrmif2M

  • 2
  • 0
#20 Peter Christiansen

Kender ikke selv programmet HashTag, måske mente han hashcat, som er et program til bruteforcing af forskellige hashes. Her udnyttes grafikkort til af gøre det hurtigere.

I en sådan øvelse som FE har lavet, er det dog ikke vigtigt da man godt kan regne med at den er lavet så hashen kan brydes indenfor overskuelig tid.

  • 2
  • 0
#23 Simon Winther

De fleste danskere, ja - enig - men hvad med dem, som ikke har?

Hør; jeg er en god og retskaffen borger, og jeg tænker det samme om magtmisbrug, masseovervågning, skattely, korruption og andre grimme ord, som flertallet af læserne herinde nok også gør.

Men man stikker sig godt nok blår i øjnene, hvis man bilder sig ind, at samfundet ville fungere bedre uden nogen form for kontrol, efterretning og håndhævelse af lov og orden. Fri for at være kvinde i hvert fald...

Folk har alle mulige syrede idéer om FE, PET og deslige, fordi de ikke arbejder der og derfor ikke aner en bjælde om de mennesker, der rent faktisk gør, og det arbejde der bliver lavet. Ja, visse ting er i gråzonen. Nogle er måske endda mørkegrå, og det bryder jeg mig da heller ikke om.

Men at sætte lighedstegn mellem FE og STASI og at sætte spørgsmålstegn ved folks ære, fordi de vælger at søge arbejde der, det er da netop en manglende tillid til gennemsnitsmoralen.

  • 1
  • 0
Log ind eller Opret konto for at kommentere