Nagy pofonokba szaladtak bele a víruskeresők

A 2013-as Ethical Hacking konferencián az előadók előtt nem volt legyőzhetetlen védelmi akadály. Ezt pedig mindennél jobban megszenvedték a víruskeresők.
 

A NetAcademia szervezésében immár hatodik alkalommal nyitotta meg kapuit az Ethical Hacking konferencia, amely idén is azzal a céllal várta az érdeklődőket, hogy betekintést adjon azon hacker technikákba és trükkökbe, amelyek alááshatják az informatikai infrastruktúrák védelmét. Az elmúlt években a konferencia látogatói már megszokhatták, hogy gyakorlatias, élő demókkal tűzdelt előadásokat tekinthetnek meg, ami idén sem volt másként. A Lurdy Mozi 500 fős termét teljesen megtöltő nézőközönség elé látványos prezentációk tárultak. Az előadások hangulatát pedig az fokozta, amikor az előadók egy-egy – esetenként korántsem nagy bonyolultságú – trükkjükkel olyan könnyedséggel hatolták át a védelmi vonalakon, hogy azt a nézősereg leginkább csak hangos nevetéssel és tapssal tudta lereagálni.

A 2013-as rendezvényen különösen sok pofont kaptak az antivírus termékek. Az etikus hackereket az sem zavarta, hogy éppen helyi vagy felhős vírusvédelmet kellett térdre kényszeríteniük. Ezek az előadások jól rávilágítottak arra, hogy a sokszor megbízhatónak vélt biztonsági megoldások milyen könnyen megkerülhetők lehetnek. Ugyanakkor már most le kell szögezni, hogy mindez nem jelenti azt, hogy a biztonsági szoftverekre, legyenek azok víruskeresők, tűzfalak, stb., ne lenne nagy szükség. Minden korábbinál nagyobb figyelmet kell fordítani ezek használatára, ugyanakkor azt sem szabad gondolni, hogy egy védelmi technológia önmagában minden problémát megold, minden kockázatot megszüntet. A konferencia ékes bizonyítékát adta annak, hogy napjaink kifinomult támadásai ellen csakis többszintű védelemmel, korszerű technológiákkal és nagyfokú tudatossággal lehet harcba szállni.

Megtréfált vírusvédelem

A vírusvédelem kérdése, pontosabban annak gyengeségei számos előadás során szóba kerültek. Ebből a szempontból két prezentáció mindenképpen kiemelkedett. Az első – amely a látogatók körében talán a legnagyobb visszhangot kiváltó előadásnak számított – kifejezetten az antivírusok megkerülésére fókuszált. Marosi Attila, IT biztonsági szakértő azt szemléltette, hogy az internetről bárki számára beszerezhető eszközök és megfelelő programozói tudás birtokában milyen könnyen lehet átejteni napjaink víruskeresőit. Az előadásában fokozatosan épített fel egy olyan kódot, amelyet egyre kevesebb antivírus tudott detektálni a VirusTotal.com valamint virtuális gépeken futatott biztonsági szoftverek bevonásával végzett tesztek során. A szakember alapjában véve egy Metasploitból kinyert payloaddal „kísérletezett”, amelynek segítségével távoli (shell_reverse_tcp) hozzáférést szerzett a fertőzött számítógépéhez. Először a payloadot csak szimplán elhelyezte egy C-kódban, amivel már pár antivírus el is vérzett. Aztán mind több víruskereső adta fel a küzdelmet, amikor az előadó elkezdte bevetni a kódoláshoz használható msfencode-ot és a XOR-alapú technikákat. Azért, hogy a hagyományos biztonsági csomagokban található tűzfalak se jelentsenek számára akadályt, jött a kódbefecskendezés, aminek során futó Windows-os alkalmazásokba (folyamatokba) illesztette be a kódját, persze mindent távolról vezérelve. Amikor már csak néhány biztonsági program maradt talpon, akkor jött az emulációs eljárások (sandbox) hatástalanítása. Ez utóbbi kapcsán érdekes megemlíteni, hogy az egyik víruskereső védelmén mindössze egy-két késleltető (sleep) utasítás beépítése is kifogott. Az antivírusok ugyanis nem a végtelenségig vizsgálják a fájlok viselkedését az e célra elszeparált környezetükben, és előbb-útóbb „feladják” a küzdelmet. Az előadó végül elérte, hogy a 46 különféle, VirusToal.com által támogatott antivírus motor egyike se jelezze károsnak a szerzeményét.

Nem jártak sokkal jobban a felhőalapú vírusvédelmi megoldások sem. Ezeket Buherátor, a Silent Signal IT biztonsági szakértője vette alaposabban szemügyre. A cloud AV megoldásoknak kétségtelenül számtalan előnyük van, de mint ahogy arra az előadás is rávilágított, azért nem minden fenékig tejfel. Milyen problémákkal is kell számolni? Egyrészt, ha egy felhőalapú védelem elveszti az internet kapcsolatot, akkor a hatékonysága erősen csökkenhet. A rendelkezésre állás pedig nemcsak akkor csorbulhat, amikor például egy szolgáltatónál technikai nehézség üti fel a fejét, hanem egy támadó is könnyedén gondoskodhat arról, hogy ne lehessen a felhőbe kilépni. A hacker azt is a saját javára fordíthatja, hogy a szignatúra- és szoftverfrissítések gyakoribbá váltak. Buherátornak sikerült rávennie egy felhőalapú antivírust, hogy az manipulált fájlokat töltsön le, és egy újraindítás után már élt is a reverse shell, amit ilyen módon éppen a biztonsági szoftver biztosított.

Ami még ennél is problémásabb, hogy egy felhős környezetben rengeteg ügyfél dolgozik párhuzamosan ugyanazon központi menedzsmentet biztosító rendszeren, amely ha kompromittálódik, akkor az széles körű támadásokhoz vezethet. Az előadó talált egy sebezhetőséget, amivel megszerzett egy másik ügyfélhez tartozó telepítőfájlt az egyik biztonsági cég rendszeréből. Ennek segítségével (mivel a menedzsment felülethez tartozó hitelesítő adatok kiolvashatók voltak az állományból) szabadon hozzáfért a webes konzolhoz, és akár egy teljes vállalat vírusvédelmét lekapcsolhatta volna. A hibát jelezte az érintett gyártónak, amely azt a konferencia előtt orvosolta.

Buherátor felhívta a figyelmet arra, hogy a cloud AV megoldásokat inkább kiegészítő védelemnek kell tekinteni, nem szabad kizárólag azokra hagyatkozni. Mivel – mint ahogy a példa is mutatja – a gyártók is hibázhatnak, ezért célszerű olyan céget választani, amely a saját alkalmazásaiban, szolgáltatásaiban rejlő sebezhetőségekről elérhetővé teszi a megfelelő mélységű technikai információkat, és nem titkolózik.

Mobil eszközöket a kezekbe

Az Apple iOS két előadásban került szóba. Az elsőt Tomcsányi Domonkos, a Boadree társalapítója tartotta, aki azt mutatta be, hogy az iOS alapú készülékeken miként lehet kihasználni a WiFi hálózatok kezelésének sajátosságait. A trükkjei során elsősorban azt használta ki, hogy az Apple operációs rendszere egy előre meghatározott weboldal lekérdezésével győződik meg arról, hogy van-e internet kapcsolat. Emellett képes hotspotokhoz tartozó weboldalak megjelenítésére, viszont ezek az oldalak is hamisíthatók. Lehetőség van például JavaScript alapú támadásra, melynek során arra vehető rá a felhasználó, hogy adja meg az Apple ID-hoz tartozó jelszavát. Emellett ki lehet használni különféle (PDF, DOC, XLS, PPT formátumú fájlokkal kapcsolatos) sérülékenységeket. A szakember bemutatott egy olyan hacker technikát is, amely az xmlconfig konfigurációs fájlok manipulálására épül. Ezeket a fájlokat az Apple a vállalati környezetekhez tervezte, és a használatukhoz egy érvényes SSL-tanúsítványra valamint az Apple ingyenes Configuration Utility szoftverére van szükség, amivel különféle policy beállítások juttathatók fel a kiszemelt készülékekre. A védekezés alapvető fontosságú összetevőjét ez esetben is a felhasználói tudatosság jelenti, de az Apple oldalán is lehetne mit tenni.

A második, Apple mobil eszközöket érintő előadás egy olyan mobil dokumentumkezelő alkalmazásról szólt, amit a konferenciára tavaly is ellátogató nézők már megismerhettek. 2012-ben Kovács Zsombor, a Deloitte szakértője ezt a szoftvert hackelte meg, most pedig arról számolt be, hogy a fejlesztői akarat ellenére miként maradhat sérülékeny egy alkalmazás. A szakember először a dokumentumkezelőbe tavaly óta beépített kliensoldali tanúsítványkezelést tette hasznavehetetlenné azáltal, hogy – például az IDA-disassembler bevetésével – az alkalmazás memóriaterületének (függvényeinek) manipulálásával átejtette az ellenőrzést. Ezt követően pedig azt használta ki, hogy a szoftver a session információkat egy SQLite adatbázisban tárolja, ami viszont a rekordok törlésekor nem féltetlenül távolítja el fizikailag az adatokat, hanem csak megjelöli azokat. Az így helyreállítható munkameneti információk pedig épp kapóra jöttek a bejelentkezéshez. Kovács Zsombor hangsúlyozta, hogy az Apple készülékek esetében a legfontosabb, hogy azokat megfelelően védjük az illetéktelen fizikai hozzáférésektől, például a képernyőt zároló kód segítségével.

Felderítés

Miközben az etikus hackerek azt mutatták be, hogy milyen módon tudják megkerülni a védelmeket, aközben Vida Zsolt, a T-Systems rendszermérnöke éppen a másik oldalról közelítette meg a támadásokat. Azt szemléltette, hogy egy banki trójai által okozott fertőzést miként lehet azonosítani, feltérképezni, majd idősoros módon ábrázolni a bekövetkező eseményeket. Ennek azért van jelentősége, mert egy esetleges banki károkozás során forensic vizsgálatokkal lehet elemezni a támadásokat, illetve igazolni azt, hogy mi is történt valójában.

Irány a webes világ

A webbiztonság tekintetében három prezentációt tekinthetett meg az Ethical Hacking közönsége. Az elsőt Balázs Zoltán, a Deloitte biztonsági szakértője tartotta. Ő tavaly már bemutatta a Zombi Tűzróka nevű böngészőkiegészítőjét, amelynek segítségével át tudta venni a hatalmat a böngésző, a fájlrendszer, stb. felett, és adatokat volt képes kiszivárogtatni. Az elmúlt egy év során a legtöbb biztonsági cég nem tudott vagy nem akart megfelelő védelmet kialakítani a bővítménnyel szemben, pedig a kiegészítőkkel való visszaélések nem új keletűek, így azok nagyobb figyelmet érdemelnének. A szakember már a plugin Chrome kompatibilis változatát is elkészítette, és együttműködött a Mozilla valamint a Google szakembereivel a védelmi kérdések tisztázását illetően. Az idei konferencián azt szemléltette, hogy a kiegészítőjének segítségével miként lehet hatástalanítani egyes biztonsági csomagokhoz tartozó „biztonságos böngészőket”, vagy éppen hogyan lehet a LastPass jelszavakhoz (akár YubiKey alapú hitelesítés mellett) hozzáférni.

A webbiztonság témáját járta körül Veres-Szentkirályi András, a Silent Signal biztonsági szakértője is, aki igazolta, hogy olyan protokollokat is célkeresztbe lehet állítani, amelyekről nem állnak rendelkezésre technikai információk. Először egy példa alkalmazáson mutatta be, hogy a Burp szoftver, a Flask mikrokeretrendszer és egy megfelelően kialakított proxy segítségével hogyan lehet sebezhetőségeket felderíteni, és hozzájutni például a passwd fájlhoz. Ezt követően pedig a SOAP (Simple Object Access Protocol) világába kalauzolta el a közönséget, és mutatott be egy támadást.

A konferencia utolsó előadása az adathalászat témakörét ölelte fel. Makay Kálmán, a D&M Consulting ügyvezetője phishing eszközöket, trükköket mutatott be, és azok felhasználásával vezényelt le egy teljes adtahalász „projektet”. Először e-mail címeket gyűjtött az internetről, majd hamis weboldalt készített. Ezt követően egy Joomla sérülékenységet használt ki, és egy web shellt nyitott. A hamis weboldalon keresztül megadott adatokat pedig egy e-mail címre továbbította. A szakember elmondta, hogy az általa bemutatott támadások ellen proaktív üzemeltetési szemlélettel lehet védekezni, amelynek része a fájlintegritás ellenőrzés, a logelemzés, a vírusvédelem, a rendszeres biztonsági mentés és a weboldalak folyamatos monitorozása, frissítése.

Többszintű védelem nélkül nem megy

A 2013-as Ethical Hacking konferencia is igazolta azt, hogy egy-egy biztonsági eszközzel nem lehet csodát tenni. A biztonságot komplex módon célszerű megközelíteni, miközben folyamatosan résen kell lenni. Ebből a szempontból mind a biztonsági cégekre, mind az üzleti és egyéni felhasználókra sok teendő vár még, hiszen a hackerek eszköztára kifogyhatatlan.