Omegapoint-trio i Göteborg vinner internationella tävlingen Hâck The Hague
I tuff konkurrens med över 200 andra hackare, kammade teamet från Omegapoint hem förstapris i kategorin ”Most Impactful Hack” och andrapris i kategorin ”Most Advanced Hack”. Dessutom stod Omegapoint-teamet för hela 22 av de totalt 125 sårbarheter som rapporterades in.
Tävlingen, som organiserades för fjärde gången av staden Haag och företaget Cybersprint, gick av stapeln 27 september, denna gång på distans på grund av pandemin. De 206 deltagarna, både säkerhetsproffs och studenter, fick på förmiddagen tillgång till en lista över vilka av stadens system som öppnats upp, majoriteten av dem webbapplikationer.
Omegapoints deltagare Kasper Karlsson, Pontus Persson och Björn Larsson satt tillsammans på kontoret och kastade sig direkt över systemen för att göra så kallade penetrationstester.
- Det var första gången vi var med i just den här tävlingen, en häftig upplevelse eftersom de lät oss angripa många olika system samtidigt, säger Pontus Persson. Vi började leta efter svagheter i de olika systemen, exempelvis sårbarheter som påverkar data eller tillgänglighet.
Kvitto på god kompetens
Den vinnande strategin då? Leta brett, sålla i rask takt och hitta bitarna som kräver en djupdykning. Att teamet jobbat ihop tidigare och är vana vid just säkerhet för webbapplikationer bidrog också. Alla tre har ett tydligt säkerhetsfokus; Pontus Persson och Björn Larsson arbetar till vardags som utvecklare och systemarkitekter, samt är en del av säkerhetskontoret på Omegapoint Göteborg. Kasper Karlsson, som var lagkapten under tävlingen, är säkerhetsspecialist inom samma gruppering.
Kasper Karlsson ser tävlingen som kompetensutveckling när det gäller offensiva säkerhetstester.
- Pentester är något som både företag och organisationer bör göra kontinuerligt som en del av ett större säkerhetsarbete. Vi genomför tester för många olika kunder och hackervinsten är ett fint kvitto på hur bra vår expertis står sig internationellt.
Skarp samhällsnytta
Exakt vilka av teamets 22 inrapporterade sårbarheter som ligger bakom vinsten är hemligt. Generellt handlar upptäckterna under tävlingen om brister när det gäller åtkomst till konton, gammal mjukvara, skadlig kod på webbsidor och konton som enkelt kan tas över.
Prispengen på 3 000 euro uppskattas självklart, men teamet menar att själva samhällsnyttan också är en stark drivkraft. Majoriteten av de sårbarheter som kommit fram vid tidigare års hackertävlingar har åtgärdats, något som också ska ske denna gång.
Om Pontus Persson får råda blir det fler hackertävlingar framöver, gärna på plats nästa gång.
- Jag efterlyser faktiskt tävlingar från just kommuner och regioner eftersom det känns extra viktigt att system som driftas offentligt är säkra. Medborgarna har ju inte själva valt att förekomma i dessa system.
Aktuell Säkerhet uppmärksammade vinsten. Läs här!