Sikkerhetssvakheter i norske nettjenester - Roy Solberg / Hallvard Nygård

Vi får besøk av Roy Solberg og Hallvard Nygård, som uavhengig av hverandre har avdekket og publisert svakheter ved norske nettjenester.

Matsponsor: Oslo Market Solutions (https://oms.no)

Roy Solberg
Roy Solberg har den siste tiden avdekket en rekke sikkerhetshull i norske tjenester og nettsider. Han tar oss gjennom motivasjonen ved å gå offentlig ut og publisere sikkerhetshullene og hvordan hele reisen har vært. Vi får mer detaljer om noen utvalgte sikkerhetshull - også noen hittil upubliserte. I tillegg får du høre mer om hva som er de oftest observerte svakhetene - slik at du selv kan unngå å bli en sak på bloggen hans.

Om Roy Solberg:
Roy Solberg jobber til daglig som mobilutvikler i NorApps AS. Der jobber han med en av verdens mest populære fotball-apper - FotMob. Før dette jobbet han 10 år som IT-konsulent.

Hallvard Nygård
Hvis din REST-tjeneste er på Internett, så bør du forvente at noen aksesserer den direkte med alternative parametre. Hallvard Nygård ønsket å undersøke egne data samlet inn av Æ-appen til Rema 1000, men fant alle sine data. I 2 uker var handledata for opptil 500000 kunder tilgjengelig for alle med en nettforbindelse. Security by obscurity.

I denne presentasjon vil Hallvard vise hvordan Æ-appen ble undersøkt med Mitmproxy (Man-in-the-middle proxy) og Curl. Han vil fokusere på hva vi kan lære av dette og hvordan du kan undersøke og sikre din egen app/backend.

Videre vil vi ta en titt på andre tjenester hvor utvikling og integrasjoner har gått galt og data/persondata har blitt eksponert. Et skybasert helseregister, en eiendomstjeneste og en kundeportal (sikkerhet i Javascript!). Hva eier du av boliger? Hvordan ser lånehistorikken (pant) din ut? Tvangsforretning? Hvilke enheter finnes i hjemmet ditt? Hvilke OS kjører de? Dataregistre på nett er skumle greier...

Om Hallvard Nygård:
Utvikler. Koder ofte på front-end, men sørger også for å sikre backenden. Sjekker sikkerheten i din applikasjon på fritiden.