Vorige maand was IP4Sure aanwezig op DEF CON in Las Vegas. DEF CON is één van de grootste hacker-conferenties ter wereld waar hackers, cyber security experts en hun kennis samenkomen. Ook tijdens afgelopen editie werden trends in het hackerlandschap gepresenteerd. In dit artikel geven we een kleine greep uit de opvallendste ontwikkelingen:
1.Hacktechniek: Web race conditions & de echte potentie ervan
Laten we meteen uitleggen wat web race conditions zijn. Een goed voorbeeld is namelijk een website die kortingscode actie heeft waarbij de code normaliter 1x bruikbaar is. Met de race conditions techniek is het mogelijk meermaals gebruik te maken van de code.
Hoe? Door meerdere “verzoeken” (ook wel requests) om de kortingscode toe te passen als het ware in één verzoek te verpakken. Doordat alle requests exact tegelijk aan komen, denkt de website bij alle requests “Deze bezoeker heeft de code nog niet gebruikt, dus we mogen de korting toepassen!”
Maar ondanks dat race conditions – meerdere requests exact tegelijkertijd op een server afvuren – al lang bestaan, was het bovenstaande voorbeeld eerder nog niet mogelijk. Voorheen kwamen requests nooit exact tegelijk aan bij een website/applicatie. Dat komt doordat ze bij een webapplicatie altijd ver moeten reizen. Een paar ms tijdsverschil is al te lang voor race conditions.
De nieuwe aanvalstechniek laat zien dat 30 requests in elkaar te schuiven zijn voor webapplicaties. In een demonstratie op DEF CON was zichtbaar hoe die requests binnen 1ms aankwamen van Australie naar Europa. Daardoor werd het als tegelijk gezien en werd de race condition toegepast.
De demonstratie op DEF CON ging nog een stap verder dan coupons uitbuiten. Web race conditions zijn namelijk ook in te zetten om wachtwoorden te achterhalen via een passwordreset truc. Er zit een technisch verhaal achter. Maar het laat zien dat deze ontwikkeling nog een staartje gaat krijgen.
2. Onderzoek: Nederlanders onthullen TETRA kwetsbaarheden op DEF CON
TETRA (Terrestrial Trunked Radio) is een digitale mobiele radiostandaard: u heeft vast ooit eens gehoord van het C2000-Netwerk dat hier onderdeel van is. C2000 is het communicatienetwerk van Nederlandse hulpdiensten. O.a. encryptie beveiligt dit netwerk.
Nu hebben Nederlandse onderzoekers in totaal vijf kwetsbaarheden ontdekt hierin. (Een daarvan zou zelfs bewust gecreëerd zijn door de Nederlandse overheid!) De groep heeft al deze kwetsbaarheden uitgebreid aan het licht gebracht tijdens de DEF CON-conferentie in Las Vegas. We volgden de volledige technische uitleg hoe de kwetsbaarheden te exploiteren zijn en wat voor gevolgen daaraan vasthangen.
Natuurlijk is de kwetsbaarheid die Nederlandse overheid zelf zou zijn gemaakt en zelfs al 20 jaar bestaat de meest opvallende. Een selecte groep binnen de overheid wist hiervan. Het gaat hierbij om TEA1, een TETRA-algoritme dat o.a. inlichtingendiensten buiten Europa ook gebruiken.
De backdoor maakt het mogelijk om communicatie af te luisteren, of te manipuleren. Deze kwetsbaarheid heeft te maken met verzwakte encryptie, waardoor het systeem in enkele minuten te kraken is met een gewone laptop. Dit kan de kritieke infrastructuur van verschillende landen in gevaar brengen.
De vraag is waarom deze backdoor erin zit en waar deze exact voor wordt gebruikt. Op DEF CON vermeldde de Nederlandse groep onderzoekers dat ze ook contact gehad met ETSI om ze te wijzen hierop. Maar ze ontkenden steeds. Delen van deze conversatie werden getoond tijdens de presentatie op DEF CON.
3. Hacktechniek: Thread Stack Spoofing
Een andere techniek waar we op DEF CON mee in aanraking gekomen, is Thread Stack Spoofing. Het doel van Thread Stack Spoofing is simpel: malware ondetecteerbaar maken voor een EDR-solution. Omdat EDR nog een vrij nieuwe oplossing op de cyber security markt is, is het groot dat er nu een aanvalstechniek is die een bedreiging kan gaan zijn hiervoor.
Tijdens DEF CON maakten we kennis met wel twee nieuwe methoden om EDR’s (Endpoint Detection & Response oplossingen) te ontwijken. Gelukkig volgde er ook advies. Er zijn manieren om deze technieken te detecteren. Dat geeft meteen aan hoe belangrijk het is op de hoogte te zijn van ontwikkelingen aan de kant van de hackers: het geeft cyber security professionals de kans daar weer op in te spelen.
Niet bekend met EDR? Lees hier wat Endpoint Detection & Reponse precies is.
Nog veel meer kennis op DEF CON
DEF CON duurt meerdere dagen en barst van informatie over trends en ontwikkelingen op het gebied van hacken. Buiten bovenstaande drie punten is er dus nog veel meer kennis opgedaan door onze experts die aanwezig waren op DEF CON. Wie goed weet wat de ontwikkelingen zijn aan de kant van de tegenstander kan ook de juiste maatregelen treffen. Op die manier verbeteren we continu onze offensieve en defensieve diensten.
