Hacktivity: betekintettünk az etikus hackerek kulisszatitkaiba

Idén sem maradt el az információbiztonsági szakma egyik legnagyobb érdeklődésre számot tartó eseménye, a Hacktivity. Az etikus hackerek ismét sziporkáztak.
 

A Hacktivity a hagyományokhoz hűen ezúttal is két napon keresztül várta az információbiztonság és különösen az etikus hackelés iránt érdeklődőket. Sem a rendezvény helyszíne, sem annak lebonyolítása nem okozhatott különösebb meglepetést azok számára, akik az előző években is rendszeres látogatói voltak a konferenciának. 

A 2016-os Hacktivitynek is a MOM Kulturális Központ adott helyet, ahol két szinten zajlottak az események. Két előadóteremben párhuzamosan lehetett hallgatni a magyar és külföldi előadók prezentációt, miközben a termek előtt is zajlott az élet. Nem maradtak el a Hacktivity már-már kötelező elemének számító, kiscsoportos hackelések, azaz a Hello Workshopok sem. Természetesen az esti buli is részét képezte a programnak, de a napközbeni lazulás is adott volt a Leisure teremben. Nem szabad elfelejteni, hogy hackerkonferenciáról van szó. Ezek sehol a világon nem arról híresek, hogy azokon öltönyös vendégek morcos társalgásokat folytatnak. Ennek ellenére a rendezvényen elhangozó előadások, eszmecserék nagyon is komolyan veendők, hiszen olyan témák, támadási módszerek és védelmi lehetőségek kerültek szóba, amelyek ismerete az informatikai környezetek megóvásához elengedhetetlen.
A szervezők az idei Hacktivityt a számok nyelvére is lefordították: több mint 1000 látogató, 27 előadás, 7 workshop. Az előadók között a hazai etikus hacker társadalom legismertebb képviselői szép számban képviseltették magukat, de külföldről is sok szakértő érkezett. Az előadók között számos olyan elismert szakember is feltűnt, akik rangos, nemzetközi hackerkonferenciákat is megjártak már. A kiválasztásukról egy független programbizottság döntött. Papp Péter elmondta, hogy Magyarország kedvező pozícióban van, az informatikai biztonság terén jók a lehetőségeink. Ezért a Hactivity egyik célja, hogy elhozza a világ minden tájáról, de leginkább Kelet-Közép-Európából a szakembereket, hogy még többet tanulhassunk.

Természetesen ahhoz, hogy a biztonság terén is megálljuk a helyünket, megfelelő szintű képzésre van szükség. Ha sikerül megtalálni a tehetségeket, és támogatni őket a szakmai fejlődésükben, akkor az eredmények is jönni fognak. Ezt bizonyítja a !SpamAndHex CTF csapata is, amely az elmúlt évekbe beutazta a világot, és az egyre népesebb mezőnyben, egyre jobb helyezéseket ért el a hackerversenyeken. 2015-ben és 2016-ban is bekerült a DEFCON CTF döntőjébe, ahol nagyon jól helyt álltak a csapattagok. Nem kis mértekben köszönhető mindez a CrySyS Lab tehetségkutató kezdeményezésének, és az általa létrehozott közösségnek.

Jutalmazott hibafeltárás

A Hacktivity konferencián tulajdonképpen nem volt olyan téma, ami az elmúlt évben ne került volna említésre a médiában vagy a szaksajtóban. A mobilbiztonságtól az elmaradhatatlan webbiztonságon át az IoT trendekig, minden górcső alá került. Csakúgy, mint a Google jutalmazási programja, amelyről a Biztonságportálon is több ízben számoltunk már be. Ezúttal azonban egy igazi bennfentes, Molnár Gábor adott útbaigazítást a közönség számára ahhoz, hogy miként is lehet hírnevet szerezni és pénzt keresni egy-egy jól elcsípett biztonsági réssel. 
A Google Zürich-ben dolgozó biztonsági mérnöke elmondta, hogy hetente átlagosan 150 hibajelzés érkezik a Google-höz, amelyek 90 százalékáról bebizonyosodik, hogy biztonsági kockázatot nem hordozó problémáról szólnak. A bejelentések egy többlépcsős folyamaton mennek keresztül, aminek része a sebezhetőségek reprodukálása, veszélyességi besorolása és természetesen a hibák javítása is. Molnár Gábor szerint, aki részt szeretne venni a jutalmazási programban, annak először jól át kell gondolnia, hogy a Google mely rendszerében szeretne sérülékenységek után kutatni. A jelentésnek pedig minőséginek kell lennie, célszerű proof of concept kódot készíteni, és akár videós bemutatóval szemléltetni a hiba kihasználhatóságát. Annál nagyobb lesz az elismerés, illetve a jutalom, minél kevesebb felhasználói közreműködéssel és kódtelepítéssel lehet kiaknázni a feltárt sérülékenységben rejlő veszélyeket.  

Ne a marketingből induljunk ki!

René Freingruber biztonsági szakértő az előadásában arra hívta fel a figyelmet, hogy a marketingelt gyártói üzenetek és a tényleges védelemi szintek között elég nagyok lehetnek a szakadékok. Mindezt egy olyan bemutatóval szemléltette, amelyben a McAfee fehérlistás védelmi technológiája kapta a főszerepet. A szakember azt érzékeltette, hogy egy nagy biztonságúnak kikiáltott, alkalmazások fehérlistázására épülő technológiát nem is olyan bonyolult megkerülni. A fehérlistázás során egy adatbázist kell felépíteni a meglévő alkalmazásokhoz tartozó fájlokból, majd csak azok futtatását szabad engedélyezni, amik ebben az adatbázisban szerepelnek. Maga az ellenőrzési eljárás mély szinten zajlik IPC/IOCTL hívások monitorázásával, valamint kernel szintű driverekkel. Csakhogy Freingruber arra jött rá, hogy ez még semmire sem garancia, ugyanis számos ponton sebezhető az elképzelés. Például a sokszor fehérlistán szereplő PowerShellel könnyen vissza lehet élni, de ugyanilyen módon megkerülhetővé válhat a fehérlistázás Office makrókkal, a Windows rendszerfájljaival, Java appletekkel, a .Net keretrendszer felhasználásával vagy éppen böngésző és PDF-olvasó szoftverekben lévő sérülékenységekkel is. 

Az előadó hangsúlyozta, hogy a fenti gyengeségek nemcsak a McAfee megoldásának esetében jelentkezhetnek, hiszen általános problémákról van szó. Majd kiemelte, hogy a lehangoló információkkal szolgáló előadása nem azt jelenti, hogy fel kell hagyni az ipari és vállalati környezetben is lényeges fehérlistázással, hanem sokkal inkább arra akart rávilágítani, hogy mindig tisztában kell lenni a technológiák képességeivel, határaival, és nagy odafigyelést kell tanúsítani azok konfigurálására, finomhangolására.

IoT minden mennyiségben

A Hacktivity szervezői sem hagyták figyelmen kívül a dolgok internetével, azaz az IoT-tal kapcsolatos trendeket. Ezért számos előadó foglalkozott a különféle internetképes eszközök, kütyük biztonsági problémáival. Szakály Tamás például az ANT protokollt vette szemügyre, és érzékeltette, hogy az okoseszközökben, korszerű vérnyomásmérőkben és egészségügyi készülékekben is előszeretettel alkalmazott, vezeték nélküli protokoll megannyi ponton sebezhető. Az előadásából kiderült, hogy sok olyan eszköz lehet a piacon, amelyek nem felelnek meg alapvető authentikációs elvárásoknak, fájlok eltulajdonítását teszik lehetővé, de még a firmware frissítések védelme terén is nagyon alacsony biztonsági szintet képviselnek.

Balázs Zoltán is az IoT-témát boncolgatta egy IP-kamerában általa feltárt sérülékenység kapcsán. Elmondta, hogy a biztonsági résről már több mint egy éve beszámolt a gyártónak, de a hibajavítás még mindig nem készült el.  A probléma, hogy ez egy általános jelenség az IoT-piacon, mivel a gyártók továbbra sem fordítanak kellő figyelmet az eszközeik védelmére. Ezért aztán felhasználói oldalon is akadnak kockázatcsökkentő teendő. Például:
-    frissítések telepítése (ha vannak)
-    alapértelmezett jelszavak módosítása megfelelő erősségűre
-    az IoT eszközeink és az internet közötti közvetlen kapcsolat megszüntetése
-    dedikált hálózat kialakítása az IoT-eszközök számára
-    tűzfalszabályok létrehozása (IPv6 szűréshez is)
-    UPNP-tiltása a routereken
-    WebRTS letiltása a böngészőkben
-    cloud szolgáltatások lehetőségek szerinti mellőzése az IoT eszközökön.

Összegezzünk!

Az idei Hacktivity jól lefedte a kritikus biztonsági területeket, és ismét rávilágított arra, hogy a védelem kialakítása napjainkban egy nagyon komplex feladat. A legjobbnak kikiáltott technológiák is gyakorta pofonegyszerű módszerekkel válhatnak megkerülhetővé, ha nem megfelelően használjuk azokat. Az viszont jobb lett volna, ha az előadások egy jelentős részében látható, videós képernyőfelvételek által bemutatott hackelések inkább élőben zajlottak volna, hiszen a Hacktivitynek ez adja az egyik varázsát. Nyilván így több idő maradt a 45 perces előadásokban az információk átadására, de mégiscsak hangulatosabb az, amikor például Jos Weyers a skót szoknyájában megtartott, lockpickingről szóló előadásában a népes közönség előtt reszeli a nyers kulcsot a "mobil" satujában.