Hacktivity 2011: a hackerek sűrű hétvégéje

A Hacktivity 2003-ban indult útjára, és azóta nagy változásokon ment keresztül. Tavaly teljes értékű nemzetközi konferenciává alakult, és Kelet-Közép-Európa egyik legjelentősebb hackerkonferenciájává vált. Az érdeklődés az idén is jelentős volt a rendezvény iránt, amelyre valóban szép számmal érkeztek a biztonság iránt elkötelezett látogatók. Tavaly a nagyszámú nézősereghez a helyszín meglehetősen szűkösnek bizonyult. A szervezők körében viszont meghallgatásra találtak a kritikák, és idén a Millenáris 4000 négyzetméteres B csarnokába szervezték meg az eseményt. Így aztán a tágasságra nem lehetett panasz, a körülbelül 1000 látogató kényelmesen elfért. Egyedül talán csak a hangosítás szenvedett csorbát, hiszen ha egy csarnok két nyitott szintjén kell berendezni két „előadótermet", akkor az okoz némi bonyodalmat. A második szinten lévő előadásokat az első sorok mögött már leginkább csak a tolmácsgép segítségével lehetett élvezni, de a nézők hamar feltalálták magukat.

A konferencia szervezői nem feledkeztek meg arról, hogy a Hacktivity a kezdetek óta a tudás átadása mellett a haverkodásról, ismerkedésről is szól. Idén is bőven volt lehetőség nyugodt beszélgetésekre, kapcsolatépítésre akár a közeli és távoli országokból érkezett szakemberekkel is. Természetesen nem maradt el a Capture the Flag verseny, sőt idén a résztvevők egy Hacktivity Tanösvényen is próbára tehették tudásukat. Nem utolsó sorban pedig a Hacktivity volt a házigazdája GLOBAL CYBERLIMPICS verseny európai döntőjének.

Minden a vírusokkal kezdődött

A 2011-es Hacktivity-n sem volt hiány neves előadókban. A programszervező bizottság több mint 60 pályázatból választotta ki az arra legérdemesebb 45 magyar- és nemzetközi előadót valamint workshopvezetőt. A nyitóelőadást Szőr Péter, a McAfee kutatója tartotta meg, aki a Pasteur, F-PROT, Norton AntiVirus után jelenleg a McAfee technológiáinak fejlesztésén dolgozik, és elsősorban a rootkitek elleni küzdelemből veszi ki a részét. A szakember az előadásában áttekintést adott a számítógépes vírusok negyed évszázados történetének legkiemelkedőbb szereplőiről, majd napjaink vírushelyzetét elemezte. Kiemelte, hogy manapság a kártékony programok terjedésének első számú közege az internet, és a terjedési mechanizmusokban nagy szerepet kapnak a különféle sérülékenységek. Különösen a böngészők, a Java, a Flash Player és az Adobe Reader alkalmazások biztonsági rései jelentenek gondot. Mindemellett a mobil vírusok is feltörekvőben vannak. Ugyan napjainkban még mindig a Symbian kompatibilis károkozók vannak túlsúlyban a telefonokat veszélyeztető kódok között, azonban az Android alapú kártevők is megkezdték hódító útjukat. Összességében a legnagyobb kihívást a vírusok nagy száma jelenti, amit jól tükröz az is, hogy a McAfee laborjában naponta 70-100 ezer új kártevőminta elemzése történik meg. Ezek nagy része azonban egy-egy víruscsalád módosított változatának számít, ami egyben azt is jelenti, hogy a polimorfikus, különösen a szerveroldali polimorf technikák, a packerek és a wrapperek nagyon népszerűek a kiberbűnözés körében. A nehézségeket pedig jelentősen fokozzák a rootkitek, amelyek felismerése és eltávolítása is komoly kihívásokat jelent a kutatók számára.

A vírusvédelmi témát Dr. Leitold Ferenc, a Dunaújvárosi Főiskola Informatikai Intézetének tanára, és Horváth Botond, a főiskola egyik hallgatója folytatta, akik a víruskeresők tesztelési lehetőségeiről beszéltek, illetve tartottak egy bemutatót. Kifejtették, hogy a - Szőr Péter által is említett - vírusmennyiség a védelmi megoldások tesztelését is jelentősen nehezíti, és egyben az antivírusokat a legbonyolultabb szoftverek szintjére emeli. A víruskeresők tesztelése során azt is figyelembe kell venni, hogy a legtöbb szoftver már cloud alapú technológiákat is alkalmaz, ami ahhoz vezet, hogy nagyon gyakran frissülnek, és ezáltal gyorsan változik a védelmi képességük. A két előadó a közönségnek egy olyan infrastruktúrát mutatott be, amely automatizált módszerek segítségével, virtualizációs technikák és számos egyedi fejlesztés eredményeként képes folyamatosan próbára tenni a víruskeresőket. Ebben nagy szerepet kap egy úgynevezett malware proxy szerver, ami a kártékony weboldalak és az azokon keresztül terjedő ártalmas kódok optimalizált elemzését segíti.

Előtérbe kerültek az üzleti alkalmazások és a vállalati adatbázisok

A Hacktivity-n számos olyan előadás volt hallható, amelyek kifejezetten a vállalati környezetekben jelentkező kockázatokra hívták fel a figyelmet. Ezek közé tartozott többek között Ertunga Arsal, az ESNC alapítójának SAP biztonságával kapcsolatban megtartott bemutatója is. A szakember azt ecsetelte, hogy az SAP megfelelő óvintézkedések és körültekintő konfigurálás nélkül milyen könnyedén válhat az informatikai infrastruktúrák sebezhető pontjává. Beszélt az SAP terhelésmegosztási megoldásában, az Application Serverben valamint a tikosítás implementációjában rejlő veszélyforrásokról, amelyeket néhány demo keretében szemléltetett is. Szót ejtett ABAP alapú károkozásokról és SAP-re specializálódott rootkitekről is. Arsal ugyanakkor elismerte, hogy a védekezés nem egyszerű feladat, ugyanis az eltérő SAP környezetek (operációs rendszerek, adatbázisok, rendszerbevezetések, stb.) miatt még a közepes szintű biztonság megteremtése is költségessé válhat. Gondok lehetnek az authorizációval, az adatok elkülönítésével, sőt gyakran még a behatolásmegelőző (IPS) megoldások sem támogatják elvárható mértékben az ERP alkalmazások megóvását. A szakember a mindennapi munkája során azt tapasztalja, hogy már napjainkban is sok SAP-rendszeren található olyan hátsó kapu, amely károkozásokhoz járulhat hozzá.

A vállalati környezetek egy másik támadási felületére Tóth László, a Deloitte Magyarország Informatikai biztonság és adatvédelem üzletágának szakértője világított rá, aki az Oracle „rejtett lehetőségeiről" beszélt. A bemutatója során szemléltette, hogy az Oracle saját megoldásaival (különösen az oradebug felhasználásával) miként lehet megkerülni az Oracle Auditot, és ezáltal nyomokat elrejteni. Windows és Linux környezetekben egyaránt számba vette a lehetőségeket, mind a standard, mind a SYSDBA auditok kapcsán. A közönség pedig láthatta, hogy miként lehet hatástalanítani olyan funkciókat, amelyek éppen azt a célt szolgálják, hogy ne lehessen nyom nélkül nemkívánatos tevékenységeket végrehajtani az adatbázisszervereken.

Egyre több forensic

A computer forensic tudománya jóval ritkábban kerül szóba a hazai informatikai rendezvényeken, mint amire a mindennapok tapasztalata alapján szükség lenne. Az informatikai szakértői feladatok ugyanis egyre fontosabb szerephez jutnak hazánkban is, miközben e terület számos nehézséggel küzd. Ezekről beszélt Illési Zsolt, aki igazságügyi szakértői szemmel mutatta be a hazai helyzetet, és vázolta azokat a körülményeket, amelyek hátráltatják a szakmát. Ezek közé tartozik a kompetenciák nem megfelelő szabályozása, az alultámogatottság, az igazságügyi szakértői kirendelésekkel kapcsolatos visszásságok, az oktatási problémák és a pénzügyi nehézségek.

Forensic témában felszólalt Barta Csaba, a Deloitte Informatikai biztonság és adatvédelem üzletágának szakértője, aki az Active Directory, illetve annak lelkét jelentő NTDS.DIT állomány rejtelmeibe vezette be a nagyérdeműt. A szakember egy saját fejlesztésű keretrendszert is bemutatott, amelynek segítségével informatikai vizsgálatok során nélkülözhetetlen információk kinyerésére nyílik lehetőség. A Python alapú, moduláris felépítésű eszköz egyebek mellett objektumokkal kapcsolatos adatok (pl.: timestampek) elemzésére, törölt objektumok visszaállítására és timeline-ok felállítására is módot ad.

A Hactivity-n az Oracle biztonság egyik legnevesebb képviselőjével is lehetett találkozni. Alexander Kornbrust, a Red-Database-Security cég alapítója az Oracle forensic kapcsán tárt fel érdekes lehetőségeket a közönség számára. Hangsúlyozta, hogy az adatbázisok sikeres vizsgálatához elengedhetetlen az adatbáziskezelők és adatbázisok mélyreható ismerete, valamint az SQL-lel való trükközés képessége. Ezt egyébként bizonyította is az előadása során, és megmutatta, hogy miként lehet értékes, ugyanakkor „rejtett" adatokra bukkanni az Oracle alapú rendszerekben.

Hackelés nemcsak szoftvereseknek

Veres-Szentkirályi András, a Silent Signal Kft. és a Független Magyar Tudásközpont alapító tagja a többségében szoftverek világában forgó publikum számára azt szemléltette, hogy napjainkban már nem kell ahhoz villamosmérnöknek lenni, hogy egy hackelés során ne csak szoftverek segítségével lehessen kitágítani a határokat. A „hagyományos" mikrovezérlők kezelésének, programozásának elsajátítása nem egyszerű feladat, és a több száz oldalas technikai dokumentációkban való keresgélés, valamint a nem egyszer igencsak költséges, villamosmérnökök számára fejlesztett szoftverek megvásárlása sem éppen kellemes feladat. Az előadó által bemutatott Arduino platform azonban olcsó, egyszerű, szabványos C/C++ nyelven programozható megoldást biztosít azok számára, akik a hardveres hackerkedés iránt is érdeklődnek, de eddig az említett bonyodalmak miatt nem akartak belevágni a megismerésébe.

Az idei Hacktivity meglehetősen mozgalmasra sikerült. Az említett előadások mellett még sok olyan bemutatót tekinthettek meg a látogatók, amelyek során a biztonság számos egyéb területére is elkalandozhattak. Szóba került többek között a Wikileaks, a SCADA-rendszerek biztonsága és természetesen az ilyenkor kihagyhatatlan social engineering is.