Sziporkáztak az etikus hackerek

Immár tizedik alkalommal kerültek rivaldafénybe az etikus hackerek a Hacktivity konferencián. Az előadók nemcsak új sebezhetőségeket tártak fel, hanem az eddig ismert biztonsági problémákat más megvilágításba helyezték.
 

A Hacktivity története 2003-ra nyúlik vissza, amikor lelkes biztonsági szakemberek egy csoportja Tatabányán megszervezte az első rendezvényt. Nemzetközi szinten már akkor is voltak hackerkonferenciák, viszont hazánkban a Hacktivity volt az első olyan esemény, amely más nézőpontból közelített a biztonsághoz, és egy hiánypótló összejövetelnek bizonyult. 2003 óta a konferencia jelentős változásokon ment keresztül, és az évek során Kelet-Közép-Európa egyik legjelentősebb hackerkonferenciájává vált. Így aztán a szervezőknek ismét fel volt adva a lecke, hogy a jubileumi évben is megfeleljenek az elvárásoknak.

Amikor egy rendezvény gyorsan növekszik, akkor előbb-utóbb elveszti a "családias" hangulatát, azonban a Hacktivity-nek ebből a lehető legtöbbet sikerült megőriznie. Ez ugyanis nem az a tipikus öltönyös-nyakkendős esemény. A máskor jóval komolyabb légkörben fellépő szakemberek ilyenkor magukra kapják a hacktivity-s pólót, sőt közülük egyesek zöld, szervezői inget húznak, és egyengetik az eseményeket. A hangulat a közönség soraiban is más ilyenkor, amit mi sem jellemez jobban, mint Charlie Miller, a Twitter biztonsági mérnökének egyik rögtönzött előadása az autók hackeléséről. A bemutató ugyanis a kisebb előadóterembe szorult, és amikor a szervezők jelezték, hogy teltház van, nincs több üres szék, akkor a kíváncsiságtól vezérelt látogatók  gondoltak egyet: szépen rendezett sorokban a földre kuporodtak, majd törökülésben hallgatták végig az amerikai szakember prezentációját. Nyugodt szívvel kijelenthető, hogy a Hacktivity elmúlt 10 évben felmutatott eredményeiben a közönségnek is nagy szerepe volt.

Pörögtek az események

A 10. Hacktivity sem szűkölködött programokban, amelyek párhuzamosan zajlottak a MOM Kulturális Központ két szintjén és a különböző termeiben. Összességében elmondható, hogy az IT-biztonság szinte összes területére el lehetett kalandozni, és azokat különböző mélységekben bejárni. Az előadások kitértek a kártékony kódok elleni küzdelemre, a hálózat-, adatbázis- és mobilbiztonságra, az adatszivárgásokra, az IT- és kommunikációs eszközök védelmének megkerülhetőségére, a különböző biztonsági résekre és azok kihasználásának módjára, a computer forensics-re, valamint a jogi szabályozásokra. Ezek mellett olyan témák is előkerültek, mint például az arcfelismerő rendszerek gyengeségei, a CCTV-k (pontosabban DVR-ek) hackelése vagy a mostanság sokat emlegetett bitcoinos visszaélések. Noha több, élő demóval fűszerezett előadásra is sor került, igazán testközelből a kiscsoportos hello workshopokon lehetett belemélyedni egy-egy témába.

A mobilbiztonságtól az autók hackeléséig

Az idei Hacktivity-re két sztár előadó érkezett. Közülük az első a már említett Charlie Miller volt, akit több fellépésre is sikerült rávenni. A keynote előadásában a mobilbiztonságról értekezett, és azt boncolgatta, hogy a hordozható készülékek által jelentett kockázatok egyre gyakoribb rebesgetése inkább a hype kategóriája, vagy tényleg valós a veszély. Prezentációja során számba vette az Apple iOS és a Google Android operációs rendszerekre épülő készülékek, illetve az azokkal kompatibilis alkalmazások azon jellemzőit, amelyeket a kiberbűnözés is figyelembe vesz. Így például kitért az Apple alkalmazások közzétételére vonatkozó, meglehetősen szigorú szabályaira, az izolációt megvalósító sandbox technológiákra, a digitális aláírásokra, a szoftverek dinamikus változtathatóságának nehézségeire. Elmondta, hogy e szempontok alapján a vírusírók, támadók számára a legnehezebb diót az Apple platformja jelenti, míg valamivel könnyebb terepnek számít az Android. Azonban mindezeknél sokkal egyszerűbb és gyorsabb pénzkereseti lehetőségeket biztosítanak a csalóknak a Windows-os károkozók, amelyek esetében a kódok újrafelhasználása és a vírusterjesztés is szabadabban végezhető. Miller szerint - bár a támadási felületek a mobilok esetében is hasonlóak, mint például a Windows-os PC-ken - a jövőben is nehezebb lesz a kiberbűnözők boldogulása a mobil platformokon. A legnagyobb veszélyt pedig maguk a felhasználók jelentik, akik elvesztik a készülékeiket, vagy éppen saját maguk csökkentik az operációs rendszerek védelmét például jailbreakeléssel, illetve rootolással.

Charlie Miller a másik előadásában azokról a járműbiztonsági kutatásokról beszélt, amelyekben ő is főszerepet vállalt. Természetesen nem menetstabilitási és járműdinamikai megfontolásokkal foglalkozott, hanem azzal, hogy a korszerű személygépkocsikba épített vezérlőegységeket, számítógéppel vezérelt funkciókat miként lehet hackelni. A szakember és társai által végzett kísérletekről készült bemutató videók nagyon elgondolkodtatóak voltak. Első körben viccesnek hatott, amikor valaki éppen vezette az autót, miközben a mellette ülő társa a Ford és Toyota gépkocsik vezérlőegységét (ECU - Electronic Control Unit) birizgálta CAN-buszon keresztül. Ekkor ugyanis az történt, hogy az autó elkezdett dudálni, megbolondult az üzemanyagszint-jelző és a sebességmérő, majd lekapcsolt a fényszóró. Már ez utóbbi sem kellemes, amikor az éppen éjjel az országúton következik be, de ennél drasztikusabb járműbiztonsági problémák is felmerültek. A manipulációk révén ugyanis sikerült a kormánymű, a gázpedál valamint a fékek működését is befolyásolni, azaz a sofőr szempontjából az autók látszólag önálló életre keltek. Miller autóhackelésről tartott előadásának nem az volt a célja, hogy rémületet keltsen, hiszen a mindennapi kockázatok - figyelembe véve a hackelés technikai és megvalósítási körülményeit - viszonylag kicsik. A szakember sokkal inkább arra szerette volna felhívni a figyelmet, hogy nemcsak számítógépek támadására van mód, és a biztonsági kérdésekre az autógyártóknak is nagyobb figyelmet kell szentelniük.

Kivel állunk szemben?

A másik meghívott keynote előadó a Finnországból hazánkba látogató Mikko Hypponen volt, aki az F-Secure kutatási vezetőjeként tartotta meg a prezentációját. A számítógépes vírusok elleni sokéves küzdelemben edződött szakember elsőként azt hangsúlyozta, hogy a megfelelő védelem kiépítéséhez nélkülözhetetlen tisztában lenni azzal, hogy kik is lehetnek a potenciális támadók, és azok milyen célokat dédelgetnek. Más megközelítést igényelnek ugyanis azok a támadások, amelyeket a pénzszerzés motivál, mint azok, amelyek mögött hacktivista csoportok vagy kormányzati érdekek állnak. 

A kiberbűnözőket leginkább a pénzszerzés motiválja, ezért trójai és egyéb kártékony programokat használnak, de gyakoriak a zsaroló, például hatóságok nevével visszaélő, számítógépeket zároló, majd pénzt követelő károkozók is. Ezzel szemben a kormányzati célú támadások esetében a fejlett, perzisztens fenyegetettségeket (APT-ket) kell kezelni. Az ilyen akciók jól célzottak. Kezdetben egy-egy embert vesznek célba, akik sebezhetőségek kihasználására alkalmas fájlokat, dokumentumokat kapnak. Amennyiben ezeket megtekintik, akkor megnyílhat az út a támadók előtt. Természetesen mindehhez megfelelő exploitokra is szükség van, amelyek révén a biztonsági rések kihasználhatóvá válhatnak. Exploitok azonban elérhetők, sőt egy gyorsan változó piacuk van, hiszen az újonnan feltárt sérülékenységekkel, a hibajavításokkal, az új operációs rendszerekkel és platformokkal is lépést kell tartania ennek a feketepiaci szegmensnek.

Mikko Hypponen végül arra világított rá, hogy az adataink védelme azért sem egyszerű feladat, mert napjainkban már számos olyan eszközzel, alkalmazással vagyunk körülvéve, amelyeken keresztül követhetők vagyunk. Elgondolkodtató az is, hogy a leggyakrabban igénybe vett szolgáltatások amerikai "fennhatóság" alatt állnak (Google, Facebook, Skype, Dropbox stb.).

A botnetektől az assembly-ig

Dr. Leitold Ferenc főiskolai docens és Horváth Botond mérnök informatikus hallgató a Hacktivity-n számolt be azokról a kutatásokról, amelyeket az elmúlt időszakban együtt végeztek a kártékony programok által használt (C&C - Command-and-Control) vezérlőszerverek, illetve az azok felé irányuló káros adatforgalmat kiszűrni hivatott biztonsági eszközök tesztelése kapcsán. Az előadók ismertették, hogy alapvetően kétféle módszerrel dolgoznak. Az egyik eset, amikor az ártalmas adatforgalmat rögzítik, és azt "visszajátszák". A másik pedig, amikor virtuális gépekre botnetes kártevőket telepítenek, és az azok által generált forgalom szűrését értékelik. Az eddigi tesztjeik során 640 ezer egyedi URL-t vizsgáltak, és több mint 5 millió tesztesetből gyűjtöttek össze körülbelül 154 gigabájtnyi naplóadatot. A kísérletek, illetve a módszerek finomítása még jelenleg is folyamatban van, ezért a tesztekbe bevont hálózatbiztonsági eszközök nevét nem kívánták elárulni. Az azonban már látszik, hogy van még hová fejlődniük a védelmeknek a C&C forgalom szűrését, illetve a kártékony URL-ek kezelését illetően.

A Hacktivity-n több olyan előadás is volt, amelyek meglehetősen mély szinten boncolgattak egy-egy biztonsági területet. Ezek közé tartozott Szappanos Gábor, a Sophos víruskutatójának prezentációja is. A szakember néhány jól ismert kártékony program, kód mélyreható (assembly szintű) elemzésén keresztül mutatta be azt, hogy az egyes exploitok, shellcode-ok, payloadok miként kerülhetnek be a memóriába, és ott hogyan végzik a feladataikat. Kiderült, hogy a verem- és regiszterműveletekkel teletűzdelt technikák azonban nem is mindig olyan fejlettek, mint amilyennek látszanak. Gyakran több éves eljárások kerülnek a károkozókba, aminek az egyik oka, hogy a kiberbűnözők sem szeretnek nagyobb erőfeszítést tenni a céljaik elérése érdekében, mint amire feltétlenül szükségük van. Lehet, hogy egy-egy technikájukat hatástalanítják a védelmi eljárások vagy például a Microsoft EMET (Enhanced Mitigation Experience Toolkit) eszköze, de pontosan tisztában vannak azzal, hogy ilyen szintű biztonsági intézkedések nincsenek minden számítógépen, és előbb-utóbb megtalálják a gyenge láncszemeket.

Mindez a jogi szakemberek és a pandúrok szemszögéből

A Hacktivity-n idén sem maradtak el azok az előadások, amelyek a jogi szabályozással, illetve a számítógépes bűnözés elleni küzdelemmel foglalkoztak. Dr. Eszteri Dániel, a Budapesti Rendőr-főkapitányság Számítógépes Bűnözés Elleni Alosztályának bűnügyi előadója a kiberbűnözést három csoportba sorolta. A klasszikus, számítógépekkel és hálózatokkal vagy azok ellen elkövetett bűncselekmények kapcsán egyebek mellett a rendszerek feltörését, az adatokhoz való jogosulatlan hozzáférést és a vírusterjesztést emelte ki. A modern kiberbűnözés kategóriájába a gyerekpornót, a szellemi tulajdon elleni bűncselekményeket, valamint az azonosságlopást sorolta. A harmadik kategóriát pedig a virtuális kiberbűnözés jelenti, amely online közösségeken belül okozhat problémákat. A szakember az egyes bűncselekményeket az új Btk. paragrafusainak tükrében is elemezte.

A témát a computer forensics oldaláról Dr. Bartók Sándor Péter igazságügyi informatikai szakértő vette górcső alá. A magyar viszonyok pontos ismeretében osztotta meg a hallgatósággal, hogy egy hazai szakértőnek milyen jogszabályi előírások, megfontolások mentén kell végeznie a feladatát. Egyúttal pedig felhívta a figyelmet az úgynevezett módszertani levelek megalkotásának szükségességére, amelyek révén az informatikai szakértők munkája, illetve munkamódszerei a jelenleginél szabályozottabb, egységesebb mederbe lennének terelhetők.

Összegezzünk!

A jubileumi Hacktivity idén is jól rávilágított arra, hogy hatékony védelmet igazán akkor lehet kiépíteni, ha a biztonsági szakemberek tisztában vannak az ellenfeleik módszereivel, és még inkább azok gondolkodásmódjával. A kiberbűnözés egyre komplexebb és kifinomultabb technikáinak megismeréséhez pedig szükség van olyan biztonság rendezvényekre, amelyeken testközelből és egyben kockázatmentesen lehet választ kapni a "Mi lenne ha...?"; "Mik a gyenge pontok?"; "De akkor mégis mit lehet tenni?" típusú kérdésekre.  Ebből a megközelítésből pedig a Hacktivity idén is betöltötte a szerepét.