Sikkerhedscirkus i Las Vegas - skræmmebilleder fra virkeligheden
Jeg er så småt ved at være tilbage mentalt efter lidt over en uges tid i Las Vegas, hvor jeg igen i år deltog på Black Hat og DEF CON konferencerne, nu fjerde år i træk.
Først fire dage med et fremragende kursus i offensiv PowerShell scripting med Veris Group, derefter to dage med Black Hat briefings, og så tre dage på den berygtede DEF CON konference.
Jeg burde nok skrive et mere detaljeret indlæg om alt det jeg lærte undervejs, hvad der var godt og hvad der var skidt, alle de dygtige mennesker man møder osv., men jeg vil i stedet her fokusere på den besynderlige kontrast, jeg som "IT-sikkerheds-nørd" oplevede til "resten" af Las Vegas. Den verden der upåvirket pulserede støjende afsted, mens hackere fra hele verden midlertidigt, tilsyneladende i al ubemærkethed, havde opbygget et blomstrende hovedkvarter i dens midte.
Hvad kameraet afslører
Det er de færreste mennesker der forstår de ting, jeg tager billeder af med min mobil, når jeg er på farten. Men hvis nogen forstår det, så er det nok læserne her på Version2. Lad mig give lidt eksempler på ting, jeg undrede mig tilstrækkelig meget over undervejs, til at jeg liiiiige måtte tage et billede eller en video til samlingen.
Først en fin lille kiosk PC, hvis primære formål tilsyneladende er at tilbyde hotelgæster gratis at udskrive boarding pass og få informationer om hotellet - eller at betale for enten adgang til Internettet eller Office pakken (1 dollar pr. minut!).
Når man nu forsøger at hive penge ud af folk for den slags ydelser, så kan man undre sig over, at selv det mest basale kiosk-bypass ikke var blokeret (se video). Specialt taget i betragtning, at tastekombinationer som CTRL-ALT-DEL og CTRL-SHIFT-ESC faktisk var deaktiverede.
"Sticky keys" FTW - men i det mindste havde ingen erstattet sethc.exe med cmd.exe - endnu!
Samme kiosk PC tillod bl.a. fysisk adgang til USB-porte og netværksstik bagpå maskinen. At "implementere" en lille uskyldig Man-in-the-Middle boks, eller at angribe hvad end der måtte befinde sig på det øvrige netværk, ville ikke være noget større problem.
Jeg behøver vel ikke at skrive, at det at blive administrator på en sådan maskine, ikke kan betragtes som noget der overhovedet lugter af en udfordring. Nogle maskiner var man allerede logget på i admin kontekst...
At introducere en fysisk keylogger på tastaturet eller en enhed i stil med en USB Rubber ducky, ville også være ufattelig nemt.
Der er flere ledige porte - oven i købet en FireWire port, hvis man vil prøve sig med Direct Memory Access (DMA) - i det tilfælde BitLocker f.eks. skulle være aktiveret (hvilket selvfølgelig ikke vat tilfældet, tsk tsk).
Hvis du er old school hacker, der ikke gider det der moderne USB-fnidder, så kan din yndlings boot CD/DVD også loades fra siden af maskinen. (jeg testede ikke reboot, men noget siger mig, at disse maskiners BIOS end ikke var låst).
Yderligere kan man så undre sig over, at den betalingsformular, som hotelgæster gladeligt indtaster deres kreditkortinformationer i, er simpel kode gemt i en fil på den lokale disk (læg mærke til stien i adresselinjen nedenfor), som man nemt kunne manipulere med (HTML og lignende)... En smule kreativitet og kreditkortinformationer kan publiceres løbende på en ligegyldig Twitter konto eller lignende.
Men så er der vel styr på pengeautomaterne i Vegas?
En stor del af pengeautomaterne i Las Vegas er fritstående som denne.
De fleste af disse har Ethernet stik frit tilgængelige og man kan kun drømme om hvilke muligheder, der måtte være for at opsnappe eller manipulere maskinernes netværkstrafik - eller f.eks. foretage angreb mod maskinen selv eller øvrige hosts på netværket, via dette stik. (her vil jeg for god ordens skyld godt lige sige, at jeg selvfølgelig ikke begav mig ud i den slags - jeg ville så gerne hjem igen, med mine knæskaller, og det kom jeg heldigvis også).
En anden pengeautomat med frit netværksstik (den slags billeder kunne jeg have fyldt min mobil med).
Når man nu er på et casino, hvor der afholdes en hacker-konference, så kan man heller ikke andet end blive mistænksom, når en pengeautomat står med en fejl som nedenfor. Det kan selvfølgelig have været en uskyldig fejl, meeen...?
Windows XP lever i bedste velgående - selv i casino borde som dette med magnetkodelæser. Selvfølgelig også i pengeautomater. What could possibly go wrong!
Nå ja, og der er selvfølgelig ikke nogen der roder ved elevatorerne på hotellet, vel?
Elektronikbutikken har vel styr på tingene?
I en lokal kæmpe-butik, der handler med elektronikvarer i alle størrelser (ja, det er Fry's), røg jeg tilbage til min tid som "hardware-pusher" på Falkoner Alle (en del år siden efterhånden).
Hvad med sådan en lækker Windows XP med fri Internetadgang, en forældet Firefox browser, et Security Center der brokker sig og VNC, som jo helt sikkert er sat 100% sikkert op, ik'?
Den slags maskiner stod overalt i butikken, frit tilgængelige for enhver. Fuld adgang til kabinettet, porte, tastatur osv. Blind tillid til kunderne må man sige!
Meeen, der var da også en Windows 7 (!), med adgang til 3 netværksdrev i Fry's interne miljø, hmmm.
Måske er jeg blevet for kritisk, skeptisk og mistroisk efter for mange år i branchen, men det er altså ikke godt nok IMHO. Slet ikke når man har 20.000 hackere på besøg i en uge. Tænk hvis de kedede sig!
Det positive ved ovenstående halv-deprimerende observationer er vel, at det kun kan gå fremad herfra - og at det trods alt ikke står så galt til i Danmark :)
/Jakob
P.S. Er jeg den eneste, der tager billeder af den slags?
