Ismét sziporkáztak az etikus hackerek

Idén sem maradt el az Ethical Hacking konferencia, amely ezúttal is számos érdekes hackeléssel és biztonsági előadással várta az érdeklődőket. Lássuk mi is történt a rendezvényen.
 

Magyarországon az etikus hackerek alapvetően két konferenciát tartanak. A tavaszi időszakban a NetAcademia által szervezett Ethical Hacking, míg ősszel a Hacktivity várja az IT-biztonság iránt érdeklődőket. Fontos hangsúlyozni, hogy ezek a rendezvények korántsem csak az etikus hackeléssel foglalkozó szakemberek számára hasznosak. Éppen ellenkezőleg, hiszen az ezeken a konferenciákon elhangzó eladásokból, a bemutatott hackelési trükkökből mindenki profitálhat, aki valóban naprakész és hatékony védelmet szeretne kiépíteni. Annál is inkább igaz ez, mivel minden bemutató végén az előadók arra is rávilágítanak, hogy miként lehet csökkenteni a kockázatokat. Nem volt ez másként az idei, immár hetedik alkalommal megrendezett Ethical Hacking konferencián sem.
 
Védtelen routerek

Az első eladást az ESET szakértője, Peter Košinár tartotta, aki a (főleg otthoni) routereket érő támadásokról beszélt. A bemutatója során a már régebben leleplezett Aidra nevű botnetből indult ki, és levezette, hogy különösebben komplex segédeszközök és szoftveres biztonsági rések nélkül miként lehet felépíteni egy komoly kiterjedésű kártékony hálózatot útválasztók felhasználásával. Ahogy arról már a Biztonságportálon is többször beszámoltunk a legtöbb problémát az okozza, hogy a routerek esetében gyakorta nem történik meg az alapértelmezett jelszavak megváltoztatása, és sokszor az útválasztók az internet felől is menedzselhetők a nem megfelelő biztonsági beállítások miatt. Ha pedig ehhez még speciális kódok, módszerek is rendelkezésére állnak a kiberbűnözőknek, akkor valóban kiterjedt hálózatok jöhetnek létre. Ebben az esetben egy olyan botnetről beszélünk, amely körülbelül 420 ezer kompromittált routert foglal magában. Az egyetlen szerencse, hogy ez a hálózat még nem kapott szerepet nagyobb támadásban.
 
Mobilra fel

A közönség reakcióiból már reggel világossá vált, hogy a legtöbben a mobil hackelésekkel kapcsolatos előadásokat várták. Ezek közül az egyik egy kínai okostelefon rejtelmeibe vezette be a nézőket, míg a másik egy "negyedik mobilszolgáltató létrehozását" tűzte ki célul.
 
A kínai belpiacra szánt, és ennek megfelelő ROM-mal ellátott androidos készüléket Kovács Zsombor, a Deloitte szakembere vette górcső alá. A vizsgálatok kiterjedtek a telefonra telepített alkalmazásokra, a hálózati kommunikációra és az alkalmazott titkosítási módszerekre. A statikus és dinamikus analízisek során kiderült, hogy a kínai készülékre meglehetősen szószátyár szoftverek kerültek fel már gyárilag. Az alkalmazások használatakor közbe-közbe elküldésre kerültek kínai szerverek felé egyebek mellett a készülék és a SIM-kártya azonosítói (IMEI/IMSI), a GPS-koordináták, az app-ok listája és a WIFI információk. A telepített szoftverek pedig valamilyen ok folytán jóval több jogosultsággal rendelkeztek, mint kellett volna. Emiatt például az installált Opera böngésző is vígan hozzáférhetett az SMS és egyéb telefonfunkciókhoz. Az alkalmazások letöltése sima, HTTP-protokollon keresztül történt, ami a közbeékelődéses támadásoknak jó táptalajt teremt. De ha volt is SSL-alapú tanúsítványkezelés, akkor az is minden esetben szó nélkül elfogadta az önaláírt tanúsítványokat. Azaz a szemrevételezett kínai okostelefon biztonsági szempontból igencsak kifogásolhatóra sikerült, és nagyon sok kockázatot vetett fel.  
A mobilos hackelések sorát Tomcsányi Domonkos folytatta, aki az Osmocom ernyőprojekt és egy pár ezer forintból összeállítható eszközpark révén mutatta be, hogy miként lehet egy kis helyi mobilszolgáltatást indítani. Szemléltette, hogy a GSM szabványban igenis felfedezhetők a sok aggályt felvető security by obscurity modell elemei, ami egyben azt is jelenti, hogy biztonsági gyengeségek bizony ezen a területen is akadnak. Az előadó által összeállított rendszerrel sajnos nem sikerült telefonhívást kezdeményezni (főleg azért nem, mert a teremben néhány készülék úgy gondolta, hogy inkább a "kamu" mobil szolgáltatóhoz kapcsolódik, aminek következtében az "túlterheltté" vált). De a bemutató jól illusztrálta, hogy egyszerű módszerekkel, olcsón lehet mobilhálózatot kiépíteni, persze kis méretekben. Ehhez pedig nincs másra szükség, mint egy megfelelő (pl. Motorola C1xx) készülékre, valamint egy PC-re, amely többek között ellátja a rögtönzött bázisállomás, illetve bázisállomás-vezérlő szerepét.  
A kódok mélyén

Az idei Ethical Hackingről sem hiányoztak azok a prezentációk, amelyek a kódelemezések, kódmanipulációk rejtelmeibe vezették be a közönséget. Zsíros Péter, a NetAcademia oktatója egy olyan user módú rootkitet készített, amely könyvtárak és fájlok elrejtésére alkalmas. Ehhez alapvetően az IAT (Import Address Table) Hooking technikát használta fel, és lépésenként mutatta be, hogy miként lehet folyamatok közötti mélyszintű interakciókkal, és a Windows egyéb sajátosságainak kihasználásával létrehozni egy rootkitet, amit ráadásul jó néhány védelmi szoftver nem képes kimutatni.
 
Szintén sok érdekes kóddal szolgált Molnár Gábor, az Ukatemi IT biztonsági szakértője, aki a JavaScript köré építette fel az előadását. A szakember felhívta a figyelmet arra, hogy JavaScriptek nemcsak a weboldalak mögött, hanem egyebek mellett a webböngészőkben, illetve egyéb szoftverekben is nagymennyiségben működnek. A mostani prezentáció során a Firefox és az Adobe Reader egy-egy sebezhetősége került górcső alá. Az első esetben az előadó azt szemléltette, hogy egy biztonsági résen keresztül miként lehet megkerülni a Firefox egyes biztonsági (same-origin policy) megkötéseit, és kattintásalapú támadásokat indítani. A második esetben pedig privilegizált API-kat tudott felhasználni az Adobe Reader kapcsán. Molnár Gábor szerint e JavaScript alapú sebezhetőségek még viszonylag kevésbé kutatottak, de megbízhatóan és platformfüggetlen módon használhatók ki. Igaz ugyan, hogy a hatásuk korlátozott lehet, de mint a példa is mutatta támadásokhoz igenis hozzájárulhatnak.  
Egy kis hálózat- és webbiztonság

A konferencián Veres-Szentkirályi András, a Silent Signal IT biztonsági szakértője egy olyan eszközt mutatott be, amely a webes felderítést segítheti. A szakember a már régebb óta létező DirBuster eszköz által lefektetett irányvonalakat követte, és az Erlang nyelv felhasználásával létrehozta a saját DirbusterErl nevű eszközét, amit a napi etikus hacker tevékenységeknek, igényeknek megfelelően alakított ki. Ezt az eszközt bárki szabadon letöltheti és kipróbálhatja, vagy akár hozzá is járulhat a funkcionalitás bővítéséhez.
 
A hálózatbiztonságba ezúttal Bucsay Balázs vezette be a nagyérdeműt. A szakember most nem arról beszélt, hogy miként lehet bejutni egy hálózatba, hanem sokkal inkább arról, hogy milyen módon tarthatja fent a támadó a jelenlétét, akár két évtizeden keresztül. Ehhez a Kerberos adta lehetőségekkel élt vissza, és még csak biztonsági rést sem használt ki, amikor a Mimikatz eszköz segítségével úgynevezett Golden Ticketet generált. Ezzel pedig a rögtönzött tartományhoz, valamint a tartományvezérlőhöz is hozzáfért rendszergazdai jogosultságok mellett. Bucsay Balázs a támadás során azt is kihasználta, hogy a krbtgt felhasználó jelszavát ritkán változtatják meg a szervezetek (aminek nemcsak a lustaság, hanyagság az oka, hanem az is, hogy a jelszóváltoztatás fennakadásokat okozhat), így egy megkaparintott krbtgt felhasználóhoz tartozó NTLM-hash nagyon sokat érhet a támadó számára.
 
A konferencián Oroszi Eszter, a Grid Consulting tanácsadójának előadása során az is bebizonyosodott, hogy mindenféle technológiai hackerkedés és ügyeskedés nélkül is komoly eredményeket érhet el egy támadó, különösen felderítéskor. Az előadó a social media auditok területére kalauzolta el az érdeklődőket, és azt szemléltette, hogy például a közösségi oldalakon miként lehet egyszerű módszerekkel megtéveszteni az embereket, és információkat gyűjteni.
 
Összegezzünk

A 2014-es Ethical Hacking konferencia ismét igazolta azt, hogy a hackerek fegyvertára kimeríthetetlen. Van, hogy trükkös és nagyon kifinomult módszerekkel rukkolnak elő, de előfordul, hogy egész triviális technikákat használnak fel a céljaik elérése érdekében. Természetesen mindez megnehezíti a védelmet, illetve növeli annak komplexitását, hiszen rengeteg kockázati tényező kezelésére kell felkészülni.