Troy Hunt, en gigant inom IT-säkerhet och mannen bakom https://haveibeenpwned.com, höll ett seminarie om (inte helt oväntat) hackers och vilka säkerhetshot som finns. Låter det tråkigt? Inte alls! Troy blandade allvarliga säkerhetshot med stor humor där han flera gånger frågade publiken hur man vet att det är en hacker på bilden? Jo så klart eftersom han har en luvtröja på sig och texten han skriver är grön. Precis som på film! 

Som bakgrund till hela sitt seminarie hade han ett hack som självaste Donal Trump råkade ut för. Det visade sig att hans site hade direktlänkat till en JavaScript-fil på Github och personen som ägde Github-kontot helt enkelt ändrat i filen och lagt in en massa hyss. 

Att direktlänka filer från t ex ett CDN (content delivery network) är en ganska vanligt sätt att göra saker på. Dels så har ett CDN noder över hela världen så användarna kommer snabbt att få filen, dels är det oftast ingen kostnad för siteinnehavaren att använda ett CDN och dels det kanske viktigaste argumentet, om någon annan site har laddat samma fil från samma CDN, så finns redan filen på användarens dator och behöver inte laddas ner igen. Nackdelen är då det som skrevs ovan. Vågar man lita på de som har filen? 

Kör man Firefox, Opera eller Chrome så behöver man faktiskt inte oroa sig så mycket, då dessa tre har stöd för en teknik som heter "Subresource integrity". Detta innebär kort och gott att man räknar ut en kontrollsumma (en hash) av filen man vill länka till. När webbläsaren laddar filen så kontrolleras den mot kontrollsumman. Stämmer den inte? Då laddas inte filen. Edge har samma feature "under consideration" och Safari kommer ha stöd från och med version 11. Vill man ha hjälp med att räkna fram kontrollsumman kan man använda en site som heter https://www.srihash.org

"Ringer det folk från Microsoft till er också?" frågade Troy lite på skämt och pratade vidare om hur han släppt in en av dessa i en virtuell maskin han hade stående bara för att se vad de skulle göra. Som alla förhoppningsvis redan vet är dessa samtal bluff och båg och inget man ska gå med på. 

Som kontrast till Microsoft-samtalen visade han lite säkerhetsproblem som större företag haft. Ett patologiskt center i Indien råkade av misstänk lägga ut många tiotusentals rapporter från privatpersoner innehållandes provsvar på t ex HIV-tester. Det visade sig att konsultbolaget (inga namn nämda, men ett av världens största) som byggt systemet av misstag aktiverat "directory listing" på mappen där alla rapporter sparades, så att vem som helst kunde hitta dem så länge man kände till adressen. Så då borde det väl varit lugnt, ingen kan ju lista ut den adressen? Tyvärr så hade Google indexerat mappen då siten saknade en "robots.txt" (en fil som säger vad sökmotorer får och inte får indexera). När Troy kontaktade bolaget lovade de att fixa det till nästa version som de skulle släppa... en månad senare. 

Appropå "robots.txt". Är det lugnt att ha datat där om man säger till Google att inte indexera det? En annan av Troys berättelser involverade ett företag som "gömt" sina hemliga mappar genom att lägga till dem i "robots.txt". Problemet med det är att den filen är publikt tillgänglig (eftersom alla sökmotorer ska kunna läsa den) vilket betyder att vem som helst kunde läsa den och se vilka mappar man ville hålla gömda. 

"Have you guys ever heard the word 'Google dork'?" frågade Troy och lade skämtsamt till "This is not my Australian accent trying to say 'Google Docs', a 'Google Dork'". En Google Dork är en person som inte riktigt är hemma i säkerhet när hen konfigurerar en server, vilket gör att de av misstag exponerar hemlig information. Troy pratade länge och väl och gav exempel på hur man gör för att hitta sårbara siter snabbt och enkelt. Eftersom det här är en publik blogg tänker jag inte återge det han delgav. Även här skojade han till det med "Let's search for php becasue you know there will be a problem there!". 

Som avslutning, för att visa hur lätt det faktiskt är att hacka, fick Troys sjuåriga son komma upp på scen och köra ett program som sökte av sårbarheter på en site och plockad ut datat som fanns där som t ex användare. Siten ägdes av Troy så datat var som tur var fake. :) 

Detta var ett av mina absoluta favoritseminarier under hela NDC! Får ni en chans att se Troy prata så ta den. Väldigt kompeten, rolig och entusiastisk kille. 

 

Comment