#mimmithakkeroi tutustutti tietoturvatestaukseen

Anne Oikarinen

Anne Oikarinen

Senior Security Consultant

Lokakuu 18, 2019 at 14:35

Satakunta valkohattuhakkeria kokoontui yhteen lauantaina 12.10.2019, kun LähiTapiola järjesti Hack Dayn viidettä kertaa. Päivän aikana tietoturvatestausammattilaiset etsivät joukkueina haavoittuvuuksia valituista verkkopalveluista ja sovelluksista ja raportoivat ne. Löydöksistä maksettiin tänä vuonna 19700 euron bug bounty -palkkiot.

mimmithakkeroi-01

Tänä vuonna mukana oli myös #mimmithakkeroi-joukkue, joka koostui tietoturvatestauksesta kiinnostuneista naisista. Minä ja neljä muuta tietoturva-asiantuntijaa, Nixun Erika Suortti-Myyry, Kaisa Henttunen ja Lisa Koshy, sekä Hackr.fi:n perustaja Lea Viljanen, olimme opastamassa mimmejä hakkeroinnin menetelmiin ja työkaluihin.

#mimmithakkeroi tarjoaa matalamman kynnyksen mahdollisuuden kokeilla tietoturvatestausta, mikäli se kiinnostaa. Haavoittuvuuksiin ja sovellustietoturvaan liittyvä jargon, lyhenteet ja vaikeaselkoiset työkalut saattavat kuitenkin aluksi vaikuttaa hankalilta tai Linuxin komentorivikin monimutkaiselta. Siksi samanhenkisessä porukassa voi olla helpompi aloittaa kuin omin päin.

Valkohattuhakkeroinnista voi saada itselleen palkitsevan harrastuksen tai vaikka ammatin. Lisäksi hakkeroinnin perusperiaatteiden ymmärtäminen on yleissivistävää, sillä kaikilla meillä on käytössä lukuisia älylaitteita ja verkkopalveluita, joiden mahdolliset tietoturvapuutteet voivat hankaloittaa elämää.

#mimmitpwnaa

Mitä haavoittuvuuksia tiimi sitten löysi? Osallistujat muun muassa

  • kaappasivat verkkokaupan hallintatilin SQL-injektiolla,
  • suorittivat valitsemiaan komentoja web-palvelimella remote code execution -haavoittuvuuden avulla,
  • kiersivät sovelluslogiikan ja antoivat verkkokaupan tuotteille nollan tähden murska-arvosteluja (kuten Mari Nikkarinen demonstroi kuvassa),
  • osoittivat että sivuston käyttäjien istuntotunnuksia voi varastaa cross site scripting -haavoittuvuuksilla ja
  • osoittivat että toisten käyttäjien salasanan voi vaihtaa heidän tietämättään CSRF-haavoittuvuuden avulla.
mimmithakkeroi-02
Mari Nikkarinen demonstroi, kuinka verkkokaupan sovelluslogiikka kierretään ja annetaan verkkokaupan tuotteille nollan tähden murska-arvosteluja.

Nopeimmat myös dumppasivat web-palvelimen tietokannan ja mursivat käyttäjien salasanat. Mimmit siis hakkerislangilla pwnasivat järjestelmän täysin. Kuulostaisi huolestuttavalta, elleivät kyseessä olisi olleet tarkoituksella haavoittuvuuksia sisältävät harjoituskohteet, Damn Vulnerable Web Application ja OWASP Juice Shop, jotka Team ROT:n Jarmo Puttonen oli pystyttänyt meille.

Löydösten vakavuuden perusteella voisi kuvitella, että asialla oli kovinkin tekninen hakkerointiin perehtynyt porukka. Suurin osa osallistujista kokeili tietoturvatestausta kuitenkin aivan ensimmäistä kertaa. Joukossa oli muutama koodari ja ohjelmistotestaaja, mutta noin kahdenkymmenen paikalla olleen IT-alkutietämys vaihteli laidasta laitaan. Siksi aamu aloitettiin kertomalla, miten web-sovellukset toimivat, miten selain juttelee palvelimen kanssa ja miten niiden välistä liikennettä voi muokata haavoittuvuuksien etsimiseksi.

Päivän mittaan kerroimme lisävinkkejä työkalujen käyttöön, demosimme haavoittuvuuksia ja kiersimme neuvomassa pienryhmissä. Lopuksi jaoimme palkintoja mm. eeppisimmistä muistivuodoista, hyvistä kysymyksistä, teknisimmästä lähestymistavasta ja hakkerihengen osoittamisesta.

Sinnikästä yrittämistä ja löytämisen riemua

Oli mahtavaa kuulla oivaltavia kommentteja ja hyviä kysymyksiä, seurata tiimityötä, ahkeraa pohtimista ja sinnikästä yrittämistä. Päivä oli pitkä, joten mukaan mahtui myös vähän väsymystä ja turhautumistakin mutta sen jälkeen onnistumisen iloa ja itsensä ylittämistä. Osallistujat käyttivät juuri samoja menetelmiä kuin ketkä tahansa hakkerit: toimitaan eri tavalla kuin tavallinen käyttäjä tekisi tai kuinka koodari ajatteli sovelluksen toimivan. Potentiaalisia tulevia valkohattuhakkereita nähtiin siis liuta.

mimmithakkeroi-03
Jaossa oli myös tarroja, kuten kunnon hakkeritapahtuman tapoihin kuuluu :)

Myös mentorin näkökulmasta tapahtuma oli palkitseva. On mukava ajatus, jos joku sai tästä kipinän opetella uusia taitoja, ymmärsi miksi tietoturvapäivitysten asentamisesta aina muistutetaan, testasi konkreettisesti mitä tietojenkalasteluviestien klikkaamisesta voi seurata tai pääsi näkemään mitä se hakkerointi nyt oikeasti onkaan. Haasteena oli puolestaan koettaa puhua ilman turhaa jargonia ja tasapainoilla yhteisopastuksen ja kokeneempien osallistujien itsenäise etenemisen mahdollistamisen välimaastossa. Saamamme arvokkaan palautteen perusteella jotkin asiat olisivat kaivanneet enemmän taustoitusta ja esimerkkejä. Näillä vinkeillä on hyvä parantaa muitakin koulutuksia jatkossa.

Kiitos LähiTapiolan Leo Niemelälle tapahtuman järjestämisestä! Kiitos myös loistaville kollegoilleni joiden kanssa mentorointi onnistui isollekin porukalle. Lähden mielelläni uudestaan mukaan!

Ja seuraavaa kertaa odotellessa, tätä voi kokeilla myös kotona! Käyttämämme haavoittuvat harjoituskohteet voi asentaa virtuaalikoneeseen tai docker-konttiin omalle koneelle. Molempiin löytyy ohjevideoita ja haasteiden ratkaisuohjeita. Myös käyttämämme työkalut, OWASP Zed Attack Proxy ja sqlmap, ovat avointa lähdekoodia. Hauskaa hakkerointia!

 

Teksti on julkaistu aikaisemmin Annen LinkedIn-blogissa: https://www.linkedin.com/pulse/mimmithakkeroi-tutustutti-tietoturvatestaukseen-anne-oikarinen/ 

Related blogs