Forsvarets Efterretningstjeneste søger blackhat-hackere

FE opretter et særligt uddannelsesforløb, hvor dem, der allerede har vist talent for hacking, kan blive uddannet til at indgå i en ny specialenhed.

Kontracyberspionage og afsløring af terrorister, der forsøger at rejse til Danmark for at udføre terrorangreb. Det lyder måske som plottet fra indtil flere film eller tv-serier, men det er ikke desto mindre de arbejdsopgaver, som en ny enhed under Forsvarets Efterretningstjeneste skal udføre.

Til det formål har FE oprettet et nyt uddannelsesforløb, hvor dem, der allerede har udvist talent for hacking, kan blive oplært i både defensive og offensive teknikker samt blive evalueret for at se, om du er egnet til arbejdet i FE.

I et jobopslag efterlyser FE således blackhat-talenter, som dog skal kunne fremvise en ren straffeattest. Derudover skal du have veludviklede programmeringsfærdigheder, høj matematisk og logisk intelligens og kunne arbejde i et team.

Man skal altså ikke have en formel uddannelse eller være CISSP-certificeret. Derimod leder FE efter personer, som har talentet til at blive cybersikkerhedsspecialister. Samtidig skriver FE dog også, at de leder efter personer, der i forvejen er blandt de bedste på deres felt.

»Akademiets opgave vil ikke være at lære dem at hacke, men at målrette deres tankegang og kompetencer, så de kan bruges i FE,« skriver FE i pressemeddelelsen om oprettelsen af uddannelsesforløbet.

De færdiguddannede vil indgå i FE's arbejde med at indhente information i udlandet. Man vil altså skulle arbejde med at skabe adgang til lukkede netværk og it-systemer, deraf betegnelsen blackhat i jobopslaget.

Selve uddannelsen vil forløbe over 4½ måned med løn, hvor man løbende vil blive evalueret. Der vil være optag frem til 24. juni, og det første forløb vil begynde 1. august.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (40)

Finn Aarup Nielsen

Baggrunden i billedet er vist fra CVE-2010-3904 exploit med trampolining(?), men det er vel ikke et "skjult" budskab? "JS/koyPrmif2M" forstår jeg ikke. Måske er det dette der er skjult. Det kunne være et loginnavn og password. Hvis man var blackhat skulle man måske bruge det på en server sat op af FE med vulnerabilitien.

Peter Makholm Blogger

Baggrunden i billedet er vist fra CVE-2010-3904 exploit med trampolining(?), men det er vel ikke et "skjult" budskab? "JS/koyPrmif2M" forstår jeg ikke.

Det er jeg ikke helt sikker på. Jeg har fundet stort set tilsvarende kode i andre exploits skrevet af Dan Rosenberg. Koden for exploitet for CVE-2010-4258 matcher imho bedre. I den udgave er der dog en meningsfuld kommentar istedet for ovenstående.

Den del af exploitet vi tydeligt kan se er bare payloaden som vi skal have kernen til at udføre. Det interessante er funktionen med kommentaren 'Triggers...' man lige kan ane nede til venstre for skikkelsen. Koden til højre for skikkelsen skanner bare /proc/kallsyms igennem.

På trods af Lars Findsens påstand, så tror jeg ikke at der er en dybere mening med koden ud over at den er relevant. I hvert fald ikke hvis vi taler om C-koden, der kan selvfølgelig være et andet lag af kode jeg ikke lige har lagt mærke til ved første øjekast.

Peter Makholm Blogger

Mit gæt er også at der er tale om en udgave af Full Nelson, men vi kan stort set kun se generisk kode der ikke afslører meget om selve exploitet – så der kan være tale om et andet exploit der har cargo-cultet mere eller mindre af Full Nelson-koden.

Rasmus L_

Jeg kan fortælle at der er et telefonnummer gemt i annoncen, til de nysgerrige. Det var meget sjovt at finde ud af, tvivler dog på at jeg går videre med det.

Søren Koch

Var også mit gæt efter 5 min. google på prepare_kernel_cred og samt at der var strengen setroot(... (ok det kan jo være en vildledning men alligevel...)

Hvad er mere underligt er at nogen i FE mener at det kun er de få der ved noget om det der kan gennemskue det (under antagelse af at de 5 minutters google rent faktisk viser hvad det er).

Per Mejdal Rasmussen

Teksten JS/koyPrmif2M er ikke tilfældigt valgt tror jeg. Hvis man søger på det, er der kun denne side der har teksten.

BASE64: JS/koyPrmif2M
HEX: 252fe4a323eb9a27f6
DEC: 685980593316398000000

Lenny Andersen

Det er en skattejagt hvor den ene ledetråd leder til den næste.. Det er måske ikke decideret hacking, men man skal bruge sine kreative it-evner for at komme i mål..

Og ja... vi var et par stykker der kom i mål i går aftes! :-)

Anne-Marie Krogsbøll

Inden nogen lader sig friste, kan jeg anbefale kommentar af Johan Clausen kl. 21.13 her:
https://www.information.dk/comment/1113138#comment-1113138

Citat:
" Så kandidaterne er nok mest underårige eller 18-20 fordi de skal 'udvikles' først. Talenter inden for IT viser sig i en ung alder og skal udvikles tidligt. En snedig bonus er at de heller ikke er særlig informeret om grundloven. 'Hemmelig Eliteenhed' lyder også sejt og spændende.
Men de bliver selve symbolet på overvågnings-samfundet, hvis vi da nogen sinde hører om Eliteenhed igen. Niels Nielsen joker, men om 10 år når de her børn er klar vil denne her Eliteenhed blive et sandt monster.
En overvågningsenhed med loyale agenter uden skrubler, der arbejder i skyggerne."

Per Mejdal Rasmussen

BASE64=JS/koyPrmif2M
HEX=0x252FE4A323EB9A27F6
BIN=1001010010111111100100101000110010001111101011100110100010011111110110

bin len = 70 = 10 * 7bit or 14 * 5bit

Base64 decoded as 7 bit ASCII

1001010 4a J
0101111 2f /
1110010 72 r
0101000 28 (
1100100 64 d
0111110 3e >
1011100 5c \
1101000 68 h
1001111 4f O
1110110 76 v

result = J/r(d>\hOv

ROT -8 to +7

-8 B'j \6TGn -7 C(k!]7UaHo -6 D)l"^8VbIp -5 E*m#_9WcJq -4 F+n$:XdKr
-3 G,o%a;YeLs
-2 H-p&b<ZfMt
-1 I.q'c=[gNu
00 J/r(d>\hOv
+1 K0s)e?]iPw
+2 L1t*f@^jQx
+3 M2u+gA_kRy
+4 N3v,hB`lSz
+5 O4w-iCamT{
+6 P5x.jDbnU|
+7 Q6y/kEcoV}

Dead end.

Base64 decoded as 5 bit ASCII (+64 ROT)

10010 R
10010 R
11111 _
11001 Y
00101 E
00011 C
00100 D
01111 O
10101 U
11001 Y
10100 T
01001 I
11111 _
10110 V

result = RR_YECDOUYTI_V

Fliped bit order per word

01001 I
01001 I
11111 _
10011 S
10100 T
11000 X
00100 D
11110 ^
10101 U
10011 S
00101 E
10010 R
11111 _
01101 M

result = II_STXD^USER_M

Script used

s="JS/koyPrmif2M"  
h=0x252FE4A323EB9A27F6  
   
l = ""  
c = 0  
o = ""  
   
print "base64 decoded as 5 bit ASCII"  
for b in bin(h)[2:]:  
  #if b == "0":  
  #  b="1"  
  #else:  
  #  b="0"  
  l = b + l  
  #l = l + b  
  c = c + 1  
  if c > 4:  
    print l,  
    t = chr(int(l, 2)+64)  
    print t  
    o = o + t  
    c = 0  
    l = ""  
print o
Per Mejdal Rasmussen

Så er vi ved at være der.

JS/koyPrmif2M er en DES hash af passwordet 21316511

$ echo JS/koyPrmif2M > pw  
$ john pw  
Loaded 1 password hash (descrypt, traditional crypt(3) [DES 128/128 SSE2-16])  
Press 'q' or Ctrl-C to abort, almost any other key for status  
Warning: MaxLen = 13 is too large for the current hash type, reduced to 8  
21316511         (?)  
1g 0:00:13:56 3/3 0.001195g/s 1298Kp/s 1298Kc/s 1298KC/s 21316956..21316596  
Use the "--show" option to display all of the cracked passwords reliably  
Session completed

Ringer man til 21316511, kan man høre en lydfil. Som kan decodes til Would you tell me, please, which way I ought to go from.... Da jeg tastende data ind binært gad jeg ikke til finde mere. Jeg fandt bitene ved at se en speltrumanalyse af filen.

lines="""1010111  
1101111  
1110101  
1101100  
1100100  
0100000  
1111001  
1101111  
1110101  
0100000  
1110100  
1100101  
1101100  
1101100  
0100000  
1101101  
1100101  
0101100  
0100000  
1110000  
1101100  
1100101  
1100001  
1110011  
1100101  
0101100  
0100000  
1110111  
1101000  
1101001  
1100011  
1101000  
0100000  
1110111  
1100001  
1111001  
0100000  
1001001  
0100000  
1101111  
1110101  
1100111  
1101000  
1110100  
0100000  
1110100  
1101111  
0100000  
1100111  
1101111  
0100000  
1100110  
1110010  
1101111  
1101101  
0100000"""  
   
l = ""  
c = 0  
o = ""  
   
for line in lines.split("\n"):  
 for b in line:  
  #if b == "0":  
  #  b="1"  
  #else:  
  #  b="0"  
  #l = b + l  
  l = l + b  
  c = c + 1  
  if c > 6:  
    print l,  
    t = chr(int(l, 2)+0)  
    print t  
    o = o + t  
    c = 0  
    l = ""  
print o

Lyd-filen og spectrum analyse kan ses her:
http://kom.aau.dk/~pmr/www/PE/

Spørgsmålet er om det er slut på udforingen, eller om der er mere.

RO JE

Der er mere - næste skridt er en "challenge" (måske i stil med dem fra tidligere optagelsesforløb?) der kan findes på en hjemmeside. Send en PM hvis du ikke gider oversættele resten af binærkoden - du har jo tydeligvis fanget ideen ;)

Per Mejdal Rasmussen

Jeg siger tak for kampen. Jeg syndes enlig at opgaven minder en del om hacking. Den krævede både tålmodighed og teamwork. Uden hjælp til at JS/koyPrmif2M var en DES hash, og at programmet skulle have URL'er til jpg-filer. Hvade jeg ikke løst problemet.

Per Mejdal Rasmussen

Webstore er navnet på det næste trin. Så det skal du ikke bruge til noget.
At det er en jpg-URL var nok til mig, prøv dig frem.

Programmet fingerprinter billedet. Så du behøver ikke at finde det precise binæer billede. Det må gerne have været resizet.

Alex V. U. Strarup

Har undret mig lidt om billedet ikke også indeholder mere end bare "koden" og opgaven mht. telefonnummeret og de følgende trin med slut i "webstore". Men at den også indeholder et budskab om at analysere selve billedet fra annoncen, og der er flere lag i det.
Udover fuld/halv Nelson ser der også ud til at være vist noget kode som indgår i et af Metasploits moduler "sock_sendpage.rb".

Men tror nærmere de forskellige kodestumper, (undtaget JS/koyPrmif2M) er ment som en symbolik, som ska' kædes sammen med de andre elementer i billedet.
F.eks. så bliver koderne bl.a. brugt i malware, zero days, CVE's, exploits osv. som indgår i konceptet, alt i alt for på den ene eller anden måde at få adgang til systemer. F.eks. med "Privilege escalations" via payloads osv.

Og i baggrunden bag den anonyme hætteklædte person samt koderne, er der noget der minder om det man kan finde på en side hos både Fireeye og Norsecorp.

Derud over er der en lignende anonym hætteklædt person på coveret af en bog fra 2014 som indeholder ordet til dette koncept.

Så alt i alt, at selve analysen af billedet kommer frem til et budskab om et koncept, som indeholder Appelsiner, Pærer og Tomater, for at blive lidt i kodesprog... ;-)

Alex V. U. Strarup

Ser også ud til at de har fjernet lydfilen med koden i, når man ringer til "JS/koyPrmif2M" nummeret... mht. hint til at få Webstore fra chal.tgz, og få de 2 thumbs up fingerprints, så er er billedet man ska' ha' i announcen uden at være announcen, lidt ligesom "kronen på værket" og Lige Over Gennemsnit Oplysninger, som en hjørnesten, og kan findes på deres officielle side...
Webstore er en ca. 4 kb jpg fil, som indeholder bl.a. et telefon nummer som man kan læse hvis man åbner den i en HEX-editor...

Rasmus nix

Jeg endte samme sted. Dog fandt jeg fandt jeg i starten, inden jeg hørte rygter om strengen i billedet, dette histogram i deres eget blålige billede:
http://178.62.62.196/lol/H_2e5e5a5c14e58f84d86a7f128b3ea1ed_jpg

Hverken histogrammet eller det blålige billede ser dog ud til at indeholde andet en information om, hvilken trådløs printer FE's grafiker bruger (Brother MFC J 5910 DW).. lol... Men man kunne jo forsøge at give det til webkit.so eller noget... Selvom det nok er begrænset, hvor meget tid FE har brugt på det her puslespil.

Noget helt andet er, at man skal huske på, at man sandsynligvis vil blive overvåget resten af ens liv, hvis man ansøger/bliver optaget/gennemfører. Det ved jeg i hvert fald at høje positioner i NC3 gør.

Log ind eller opret en konto for at skrive kommentarer