Nem finnyásak az etikus hackerek

2015-ben is összegyűltek az etikus hackerek, hogy az ilyenkor szokásos konferenciájukon megmutassák az elmúlt egy évben tett felfedezéseiket.
 

A Hacktivity mindig az egyik leglazább, leghangulatosabb biztonsági rendezvények közé tartozott. Ez nem az az öltönyös konferencia, amit egyébként máshol megszokhattunk. Itt kizárólag az számít, hogy az előadásokon minél több érdekes, gyakorlatias információ hangozzon el, miközben az előadótermeken kívül zajlanak a versenyek, a megmérettetések és a különféle szórakoztató, ugyanakkor szakmaisággal megtöltött programok. 

Idén is minden a hagyományoknak megfelelően zajlott. A megszokott helyen, a MOM Kulturális Központ két termében voltak megtekinthetők az előadások, míg kint a támogatók standjai kaptak helyet. A kisebb termekben pedig ezúttal is megvolt a lehetőség a kiscsoportos hackelésekre, azaz nem maradtak el a Hello Workshopok. A vállalkozó kedvűek pedig betekintést nyerhettek a digitális nyomolvasásba vagy akár a protokollelemzésbe is.

Ami az előadásokat illeti, idén sem lehetett panasz a változatosságra. Az általánosabb jellegű prezentációk mellett akadt szép számmal elő bemutató is, amikor a közönség valóban testközelből szemlélhette végig, hogy miként dolgoznak a fehérkalaposok. Itt érdemes megjegyezni, hogy a Hacktivity nemcsak a biztonsági szakemberek vagy éppen az etikus hackelés iránt érdeklődők számára volt hasznos, hanem a kilátogató fejlesztőknek, programozóknak is tartogatott meglepetéseket. Ők megismerkedhettek azzal, hogy az alkalmazásaikat nyüstülő szakemberek miként is szemlélik a világot.

A Hacktivity előadásainak sorát a Recurity Labs alapítója, Felix 'FX' Lindner nyitotta meg. A szakember elsősorban a hackelés informatikában, illetve a mindennapjainkban betöltött szerepéről értekezett. Beszélt a hackerek megítéléséről, ismertette a célokat, és közben kifejtette, hogy a biztonsági ipar sokszor nem igazán van a helyzet magaslatán. Véleménye szerint az üzletmenetfolytonosság gyakran a védelem rovására megy, ezért változtatni kellene a jelenlegi biztonsági szemléleteken. 

Így működött a Hacking Team

Marosi Attila előadását sokan várták, ami nem csoda, hiszen egy különösen aktuális, nagy visszhangot kiváltó témát választott: a Hacking Team adatbiztonsági incidensét elemezte. A nyáron kiszivárgott 400 gigabájtnyi adat között a biztonsági szakértők is mazsolázhattak, de sajnos a kiberbűnözők figyelmét sem kerülte el az incidens. A Hacking Team által alkalmazott technológiákat korábban elsősorban csak állami szervek, titkosszolgálatok, hatóságok vásárolhatták meg, a nyár óta azonban már közkézen forognak e veszélyes technikák. 

A Hacking Team számos platform alatt támogatta az adatgyűjtést, kémkedést, így a legnépszerűbb mobil operációs rendszereken is. Eközben számos nulladik napi sebezhetőséget használt ki. Volt, hogy ezeket úgy vásárolta meg, majd építette be a saját megoldásaiba. Marosi Attila a Hacktivity-n az androidos támadások mikéntjét ismertette, és egy élő bemutató keretében személtette, hogy a Webview biztonsági résének - és másik két hiba -  kihasználásával, a HTTP adatforgalom manipulálásával, az eszközök rootolásával miként lehet átvenni a hatalmat egy androidos készülék felett. Mint kiderült a kémkedők az okostelefonokra telepített alkalmazások adatbázisai mellett a MediaServer segítségével a telefonbeszélgetéseket is képesek voltak lehallgatni. Az igazán aggasztó az, hogy a kihasznált sebezhetőségek az androidos eszközök 35 százalékán még mindig megtalálhatóak.

A biometria sem mindenható

Az Óbudai Egyetem immár negyedik alkalommal képviseltette magát a Hactivity konferencián. A rendezvény törzsgyökeres hallgatósága által jól ismert csapat idén is jó kedélyű előadást tartott, amin ezúttal is a biometrikus azonosítás sebezhetőségei kapták a főszerepet. A csapat most úgy határozott, hogy a kézgeometriára épülő hitelesítést végző eszközök gyengepontjaira világít rá, de végül olyan kockázati tényezőket tárt fel, amelyek más azonosítási eljárások esetén is jelen vannak. Az előadók a közönség szeme láttára igazolták azt, hogy egy papírdarabbal is megtéveszthetővé válhat egy nem megfelelően kialakított rendszer, sőt egy kézről készült fénykép kinyomtatását, és szivaccsal történő "háromdimenzióssá tételét" követően is átejthető a tesztelt biometrikus eszköz. A problémákat pedig tovább tetézte, hogy az egész rendszer mögött egy Access adatbázis állt, amit nem éppen nehéz kompromittálni, így némi ügyeskedéssel  megszemélyesíthetővé válhattak a felhasználók. Az előadók hangsúlyozták, hogy napjaink biztonsági incidensei mögött az esetek nagy részében szoftverek húzódnak meg, amelyek vagy alapból kártékonyak, vagy olyan biztonsági réseket tartalmaznak, amik a támadók céljait szolgálhatják.
    
Feltört kütyük

A Hacktivity-n a védelem legtöbb területe előkerült: a kvantumkriptográfiától kezdve, a titkosítási protokollokon át a webes alkalmazásbiztonságig bezárólag. Közbe-közbe pedig olyan bemutatók is szórakoztatták a közönséget, amik a jövő kihívásaira világítottak rá, és egyben igazolták azt, hogy a fehérkalapos hackerek nem finnyásak, ha valamit fel kell törni. Mindezt jól alátámasztotta Axelle Apvrille prezentációja is. A Fortinet vezető antivírus kutatója azt szemléltette, hogy egy olyan egyszerűnek látszó eszköz, mint amilyen egy Fitness Tracker miként válhat a támadók játékszerévé. Az évente több mint 70 milliós darabszámban értékesített digitális karkötőket a lustább hackerek is manipulálhatják: elég, ha egy USB-s ventilátorra vagy egy autó kerékére erősítik, és a gyorsulásmérő elvégzi a többi feladatot. Így a lépésszám, a megtett távolság vagy akár a kalória értékek is manipulálhatóvá válhatnak, amivel például többletpontok szerezhetők egy erre kiélezett reklámkampányban. Ennél azonban komolyabb kockázatok is felmerülnek, ugyanis egy biztonsági rés miatt a vizsgált Fitness Trackerhez csatlakoztatott számítógépekre tetszőleges kódok juttathatók fel, igaz csak kisméretű payloadok felhasználásával. Axelle szerint ez elég ahhoz, hogy egy nagyon egyszerű károkozó kerüljön fel egy rendszerre. A szóban forgó sérülékenységet az érintett gyártó már befoltozta, de az eset kitűnően mutatja, hogy egyre több olyan eszköz vesz bennünket körül, amelyekről első látásra nem gondolnánk, hogy biztonsági kockázatokat hordoznak.