Mindent beleadtak az etikus hackerek

A hétvégén ismét találkozott az etikus hackerek színe java, és a biztonság iránt érdeklődő közönség társaságában, jó hangulatban konferenciáztak. Természetesen mi is ellátogattunk az eseményre.
 

Immár 11. alkalommal került sor Kelet-Közép-Európa független IT Biztonsági Fesztiváljára, a Hacktivityre. A rendezvény a korábbi évek hagyományait követte, hiszen ezúttal is érdekes, gyakorlatias előadásokkal, marketingtől mentes, mélyszintű technológiai ismereteket felvonultató prezentációkkal várta az érdeklődőket. Természetesen az előadások mellett idén sem maradtak el a törzslátogatók által már jól ismert és igen népszerű egyéb programok, versenyek. Így például voltak kiscsoportos hackelések, vagyis Hello Workshopok. Összesen hét témában lehetett újabb ismeretekre szert tenni: a webes, androidos alkalmazások tesztelésétől kezdve a Linux kernel modulok fejlesztésén át egészen a rootkit készítésig és detektálásig. Ezek mellett pedig a szervezők idén is megtartották a HACK24-et, a csoportosan játszható 24 órás versenyt, ahol a csapatoknak logikai feladványok, közösségi feladatok, kriptográfiai és sztegano pályákon keresztül kellett átverekedniük magukat.
 
Változatos témák

A 2014-es Hacktivity programfüzetéből már látszott, hogy idén sem lesz hiány változatos témákat felvonultató előadásokból. A két teremben folyó prezentációk között mindenki megtalálhatta az érdeklődésére leginkább számot tartó bemutatókat, de sokszor az ember nehezen tudta eldönteni, hogy éppen melyiket válassza. Az előadások az információbiztonság megannyi területét érintették, kezdve a vírusvédelemtől és az alkalmazásbiztonságtól, a mobilbiztonságon és a különféle hardveres sebezhetőségeken át egészen az adatvédelemig.
 
Keynote előadások

A kétnapos Hacktivity mindkét napját egy-egy neves előadó nyitotta meg. Elsőként Jason Chan, a Netflix biztonsági igazgatója lépett színpadra, aki arról beszélt, hogy milyen kihívásokkal kell szembenéznie egy Netflixhez hasonló szolgáltatónak. Elsősorban azt emelte ki, hogy míg például egy online DVD-bolton a látogatók viszonylag kevés időt töltenek el, addig egy streaming szolgáltató infrastruktúrájának jóval ellenállóbbnak kell lennie. Itt nemcsak arra kell gondolni, hogy nagyobb teljesítményre és sávszélességre van szükség, hanem arra is, hogy megannyi telemetriai adatot kell gyűjteni és feldolgozni, amelyek aztán a szolgáltatás minőségének javításában kapnak szerepet. A szakember szerint egy olyan környezetben kell biztosítani a védelmet, amely rendkívül gyorsan változik, és amelyben folyamatosan jelentkeznek az újabb és újabb biztonsági problémák, amikre időben kell reagálni. Ez pedig csak akkor valósítható meg, ha a védett rendszer, illetve nyilván maga a védelmi infrastruktúra is kellőképpen átlátható. Chan kitért arra, hogy a kockázatok priorizálása elengedhetetlen a hatékony biztonsági rendszer felépítéséhez, működtetéséhez, és persze nem szabad megfeledkezni a tesztelések fontosságáról, valamint a konfigurációmenedzsment hatékony kialakításáról sem. Itt természetesen megemlítette a Netflix által fejlesztett, nyílt forráskódú Security Monkey eszközt.
 
A második nap nyitóelőadását David Jacoby tartotta, aki arról számolt be, hogy mennyire biztonságosak az otthonainkban használt mindennapi készülékek, eszközök. Nemrégen feltörte többek között az okostévéjét, a hálózati berendezéseit, miközben a lakása egy rosszindulatú kódokkal teli hellyé változott. A szakemberrel egy interjút készítettünk, amelyet a Biztonságportálon olvashatnak majd.
 
Betekintő a mobil kémprogramokba

A Hacktivity látogatói közül sokan voltak kíváncsiak Marosi Attila előadására, ami persze nem csoda, hiszen a szakember a sajtóban nagy visszhangot kapott FinSpy alkalmazás technikai részleteiről rántotta le a leplet. Elmondta, hogy jelenleg csak az androidos változatot vizsgálta, de az is sok érdekességet tartogatott. A kémprogram telepítését élőben is bemutatta, amelynek során kiderült, hogy – nem meglepő módon – ennek az alkalmazásnak is sok engedélyre van szüksége, és egy többlépcsős folyamat részeként fertőz. Különféle események bekövetkezésére figyel, majd egyszer csak aktivizálódik. Eközben kiszivárogtatja az IMEI számot, és titkosított módon kommunikál a vezérlőszerverével. Noha egy nemzetbiztonsági szervek által is használt programról van szó, az alkalmazott titkosítás korántsem mondható erősnek. (A kulcstér legrosszabb esetben is 30 órán belül „bejárható” egy átlagos PC-vel.) Ráadásul a kulcs ismeretére sincs szükség ahhoz, hogy egy speciálisan összeállított SMS segítségével a fertőzött készülék monitorozó módba kerüljön, azaz lehallgathatóvá válhassanak az adott okostelefon környezetében folytatott beszélgetések.
 
A FinSpy moduláris felépítésű, a telepítőcsomagja minden egyes modult tartalmaz, és minden összetevő automatikusan fel is kerül a készülékre. Ha pedig egy ideig nem tud kommunikálni a kontroll szerverrel, akkor (konfigurálástól függően) eltávolítja saját magát a telefonról. A kémprogram SMS-ekkel vezérelhető, sőt ezeket a speciális üzeneteket „le is nyeli”, vagyis a készülék tulajdonosa mit sem sejt abból, hogy éppen adatokat szivárogtatnak ki a telefonjáról.
 
Valószínűleg a közönség soraiban sokakban felmerült, hogy ez a kiszivárgott FinSpy egy korábbi verzió, és vajon milyen eszközök lehetnek napjainkban, amik hasonló célokat szolgálnak. Ebben a kérdésben azonban egyelőre leginkább csak a fantáziánkra hagyatkozhatunk.
 
Baklövések

Miközben a konferencián mindenfelől záporoztak a hexa kódok, a támadásokra felhasználható XML-ek, az ASCII alapú Flash exploitok, aközben Csizmazia-Darab István egy érdekes összefoglalót adott arról, hogy a kártékony programok világában milyen baklövések vezettek ahhoz, hogy a malware-ek szerves részeivé váltak mindennapjainknak. A szakértő számos példával támasztotta alá azt, hogy nagyobb odafigyeléssel megannyi probléma megelőzhető lett volna. Hangsúlyozta, hogy egy többszereplős „játékról” beszélünk, amelyben az antivírus gyártóknak, a fejlesztőknek, a felhasználóknak és persze a vírusíróknak is osztottak lapokat, és bizony mindegyik játékos követett már el hibákat. Ha a fejlesztők oldaláról nézzük mindezt, akkor említést érdemel például a sok gondot okozó makrók kezelése, amelynek megoldására hat évet kellett várni. Vagy említhetnénk az Autorun funkció biztonságosabbá tételét, amire szintén évekig vártunk. A felhasználók oldalán elsősorban a biztonsági frissítések telepítésének elhanyagolása okozott, illetve okoz gondokat. Jó példa erre a Conficker féreg, amely 2007 óta terjed, 2008-ban megjelent az általa kihasznált sérülékenység javítása, de a károkozó még napjainkban is toplistás helyen szerepel. Ugyanakkor azért a kiberbűnözők sincsenek mindig a topon, szerencsére. Az előadó kiemelte az Androidra írt, roppant erőforrásigényes, akkumulátorgyilkos Bitcoin-bányászó kártevőt, valamint a nemrégen hírek élére került Simplocker trójait, amely az androidos készülékeken titkosította a fájlokat, viszont a dekódoláshoz használható kulcsot „bent felejtették” a készítői a kódban. Csizmazia-Darab István hangsúlyozta, hogy a kockázatok csökkentése érdekében biztonságtudatos hozzáállásra és nagyobb odafigyelésre van szükség a biztonsági hibajavításokat illetően.
 
Adatvédelmi áttekintő

A Hacktivity szervezői minden évben figyelnek arra, hogy a sok hackelés mellett azért jogi vonatkozások is előkerüljenek, ami etikus hackelésről lévén szó nyilvánvalóan elengedhetetlen. Idén Alexin Zoltán adjunktus tartott előadást adatvédelmi témában. A szakember egy áttekintést adott arról, hogy az EU és Magyarország adatvédelmi elképzelései, gyakorlata és jogszabályi környezete miben tér el. Kiderült, hogy mind az Európai Uniónak, mind hazánknak bőven van még tennivalója e területen. Az EU-ban elsősorban az egységesítésre kell törekedni, vagyis arra, hogy az adatvédelmi szabályozásokat lehetőleg az összes tagállam elfogadja, alkalmazza. Magyarországon pedig mind a jogszabályok, mind a gyakorlati élet terén akadnak teendők. Jelenleg ugyanis több mint 700 törvény és rendelet foglalkozik kisebb nagyobb mértékben adatvédelemmel, adatkezeléssel, ami megnehezíti a mindennapi életet. Ráadásul az adatkezelések többsége törvény által előírt kötelezettségekből fakad, ami azt vonja maga után, hogy ez esetekben nincs tiltakozási jog. Az adatkezelések egy másik része pedig beleegyezéssel történik, vagyis bipoláris adatkezelési gyakorlatról beszélhetünk. A helyzeten javíthatna, ha az úgynevezett megengedett adatkezelés hazánkban is nagyobb teret nyerne, és az EU-s elvek mentén például a szerződéses kapcsolatokból, a közérdekből vagy a jogos érdekből történő adatkezelésekre nagyobb szerep hárulna.
 
Összegezzünk

Az idei Hacktivity hozta az előző években megszokott színvonalat, mind az előadások, mind az egyéb programok tekintetében. Az előadások sok tanulsággal szolgáltak, mind az etikus hackerek, mind a biztonsági, informatikai szakemberek számára. Persze egy ilyen rendezvény igazán akkor éri el a célját, ha ezek a tanulságok beépülnek a mindennapi védelmi folyamatokba, és ezáltal járulnak hozzá a nagyobb fokú biztonsághoz. Reméljük, hogy ez így is fog történni.