Instalta löytyi hienosti innokkaita osallistujia tapahtumaan ja lähdimmekin kilpailuun peräti kolmella joukkueella. Päätimme arpoa joukkueiden kilpailijat, joten saimme joukkueisiin sekoitettua kilpailijoita useammasta kyberturvallisuusyksikön tiimistä.
Vaikka tapahtuma toteutettiin etänä, me Instan joukkueissa päätimme kuitenkin kokoontua toimistolle, toki turvallisuus huomioiden, jotta pääsisimme paremmin kiinni omaan hackathontunnelmaan. Päivä alkoi Sarankulmassa aamulla puoli yhdeksältä, kun jakauduimme joukkueisiin. Yhdeksältä oli jo kilpailun aloitus ja kohdejärjestelmät avautuivat.
Valmistelut ja tapahtuman käynnistyminen
Aikaisempien vuosien tapaan tapahtumassa oli tarkoituksena haavoittuvuuksien löytäminen kohdejärjestelmistä. Kohteita oli 18 ja näistä saimme tietoomme ainoastaan IP-osoitteet.
Osallistujamääriä oli etätapahtuman vuoksi kasvatettu, mikä myös heijastui kohdejärjestelmien toimivuuteen. Osallistujia olikin kerääntynyt tapahtumaan lähes 350 kaikilta mantereilta Australiaa lukuun ottamatta. Yhteislähdön seurauksena kohdejärjestelmät olivat kovilla, kun sadat yhtäaikaiset skannaukset osuivat järjestelmiin.
Skannaustuloksia odotellessa aika käytettiin tiimissäni hyödyksi viimeistelemällä edellisiltana ehkä jopa hieman liian myöhään aloitetut valmistelut. Osa joukkueesta oli jo edellisenä iltana asentanut HackAthonia varten itselleen virtuaalikoneen ja erilaisia työkaluja, kuten automaattisia haavoittuvuusskannereita, mutta osalla asentaminen jatkui vielä tapahtumapäivän aamuna.
Sujuvaa tiimityötä ja hyvää fiilistä
Kun pääsimme kohteisiin kiinni, alkoi pieniä havaintoja mahdollisista haavoittuvuuksista tulla jokaiselta. Kun löysimme jonkin avoimen portin kohdejärjestelmästä, pyrimme selvittämään mikä ja minkä versioinen ohjelmisto sieltä vastaa. Tämän jälkeen selvitimme, onko kyseinen versio kuinka vanha ja millaisia tunnettuja haavoittuvuuksia versioon on tiedossa. Löysimme muutamia tunnettuja haavoittuvuuksia. Lähdimme myös tutkimaan, löytäisimmekö jotain muuta kyseisestä versiosta, mutta päätimme kuitenkin siirtyä muihin löydöksiin ja raportoida vain löydetyn version ja tunnetut haavoittuvuudet. Rajallisen ajan vuoksi Proof of Concept –ratkaisujen laatiminen kaikkien haavoittuvuuksien hyödyntämiseen tehtiin kevyemmin.
Tiimin viestintä pelasi kuin rasvattu ja tunnelma pysyi korkealla koko tapahtuman ajan. Tähän yhtenä syynä voidaan lukea Nokian tarjoama taustamusiikki tapahtuman YouTube-livestriimissä. Tapahtumassa hakkerointiaikaa oli kaiken kaikkiaan noin seitsemän tuntia ja päivä huipentui klo 16:30 voittajien julkistamiseen. Insta piti huolta ruokahuollosta, joten jaksaminen oli taattu. Taukoja ei ruoan ohella tarvittu, sillä uusien mahdollisten havaintojen löytäminen toi aina ”lisäboostin” jaksamiseen.
Tapahtuman aikana löysimme muutamia hyviä havaintoja ja näistä yksi oli se, joka toi meidän joukkueellemme toisen sijan. Hampaankoloon jäi kuitenkin vielä ensi vuodelle eräs raportoitu havainto, joka hylättiin monen tunnin tarkastelun jälkeen vain pari minuuttia ennen voittajien julkistusta. Hylkäyksen syytä emme saaneet tietää ja voimme vain spekuloida syytä tälle.
Osallistujien näkökulmaa
Osallistuin tapahtumaan toista kertaa, nyt ensimmäistä kertaa Instan tiimissä. Uusia kokemuksia tuli tapahtumasta kerättyä ja paljon tarttui mukaan myös uusia oppeja. Strategiaan ensi vuodelle parannuksena voisi olla, että jokainen tiimin jäsen ottaa itselleen muutaman kohteen, joita alkaa tutkia, ja jossain vaiheessa kootaan yhteen, mitä on mistäkin kohteesta löydetty ja mihin tulisi yhdessä keskittää eniten huomiota. Tällä tavoin päästään alun kohteen tiedusteluvaiheessa sulavammin eteenpäin.
Instan puolesta tapahtumaan osallistumisen mukavuus osui nappiin. Oli erittäin mukavaa kokoontua yhteen ja tiimityöllä etsiä haavoittuvuuksia.
Keräsin myös mietteitä kollegoiltani muista Instan tiimeistä:
”Tapahtumasta voisi kiteytettynä sanoa, että tiimimme pelasi hyvin yhteen ja tietoja vaihdettiin koko ajan siitä, mitä löytyi. Kun joku tiimistä löysi jotain kiinnostavaa, sitä pureksittiin heti yhdessä. Aluksi kuitenkin kesti hetken ennen kuin pääsimme kunnolla vauhtiin ja raportoimaan havaintoja. Paljon asioita jäi kesken ja raportoimattakin, mutta hauskaa oli ja onneksi se korkein ja voiton tuonut haavoittuvuuskin sieltä löytyi. Insta vei kaksi kärkisijaa, joten ei huono saavutus tuossa porukassa.”
”Tapahtuma oli onnistunut, vaikka alkukohteiden kanssa oli hieman hankalaa. Oli mukavaa, että saatiin laaja edustus yksikkömme sisältä. Oli hyvä päätös sekoittaa hackathontiimit siten, että oli useammalta linjalta tiimissä väkeä. Oman tiimimme taktiikka oli keskittyä muutamaan potentiaaliseen isoon haavoittuvuuteen. Jälkiviisaana voi todeta, että perinteisellä kohteiden kartoituksella ja havaintojen kirjaamisella olisi päädytty parempaan lopputulokseen. Pääasia oli kuitenkin, että Insta pärjäsi kokonaisuutena loistavasti.”
”Osallistuin ensimmäistä kertaa Nokian HackAthoniin ja sen huomasi omasta suorituksesta. Sellainen rutinoituneempi lähestymistapa tuntemattomien järjestelmien kartoittamiseen ja niiden puutteiden etsimiseen oli vielä hieman hakusessa. Tapahtuma oli kiinnostava ja mielenkiintoinen. Saimme joukkueena löydettyä muutamat havainnot, ja oppimiskokemuksena tämä oli aivan loistava. Seuraavilla kerroilla on varmasti helpompi lähteä tämän tyylisiin tapahtumiin.”
Kaiken kaikkiaan tapahtuma oli erittäin onnistunut. Saimme viettää päivän hyvässä porukassa haavoittuvuuksia etsien ja tästä vielä bonuksena kaksoisvoitto taskuun Installe. Ensi vuoden tapahtumaa odottaessa!
Patrik Jokela
Cybersecurity Trainee
