Konferenciáztak az etikus hekkerek

A hagyományokhoz hűen idén is a Cinema City Aréna egyik mozitermébe voltak hivatalosak az etikus hekkerek és a nem kisszámú nézőközönség. A NetAcademia szervezésében lebonyolított konferencia a különféle védelmi területek tekintetében az elmúlt évekhez képest nagyobb spektrumot ölelt át. A hekker konferenciákról nélkülözhetetlen témák - weboldal és adatbázis törés, puffertúlcsordulási hibák kihasználása, stb. - mellett célkeresztbe kerültek a mobil készülékek, a virtuális környezetek valamint a cloud computing.

A 2011-es Ethical Hacking konferenciára idén is jellemző volt, hogy az előadók az általuk kidolgozott hekkelési technikák bemutatása után minden esetben felvázolták a védelmi lehetőségeket. Így a közönség szembesülhetett azzal, hogy a látszólag pofonegyszerű exploitok és trükkök ellen sok esetben egy kis odafigyeléssel is hatékonyan lehetne szembeszállni. És, hogy miért csak látszólag egyszerűek ezek a hekkelési módszerek? Azért, mert a rendezvényen az esetek többségében olyan technikák bemutatóját lehetett megtekinteni, amelyek kidolgozása komoly szakértelmet és nem kis időráfordítást igényelt az etikus hekkerektől. Az assembly, a kernelszintű programozás, az adatbázisok és a hálózatok mélyreható elemzése, stb. mind-mind olyan területek, melyek nem hiányoznak a „fegyvertárból". A konferencián betekintést lehetett nyerni abba, hogy a fehérkalaposok miként élnek e lehetőségekkel.

Hekkelés megrendelésre

Buherátor és Pánczél Zoltán, a Silent Signal IT biztonsági szakértői egy elképzelt penetrációs teszt folyamatába avatták be a közönséget. A két szakember egy olyan tesztet végzett, melynek során egy megrendelő kérésére úgy kellett megszerezni a CEO számítógépéről egy fájlt, hogy nem lehetett social engineeringet alkalmazni. A konferenciára felállított tesztkörnyezetben az előadók először egy Apache webszervert - amely egyébként az internet és a belső hálózat felé is kommunikált -, illetve egy sérülékeny, fájlok feltöltésére is lehetőséget adó webalkalmazást vettek célba, majd nem sokkal később már root jogosultsággal rendelkeztek. Ezt követően kalandoztak MySQL adatbázisokban, Windows szervereken, és egy hálózatfelügyeleti eszközben általuk felfedezett nulladik napi sebezhetőséget is igyekeztek a saját javukra fordítani. Eljutottak egy Active Directory-ig, majd a Metasploitot is bevetették a céljuk elérése érdekében. Az előadás tanulsága védelmi szempontból az volt, hogy korántsem egészséges, ha egy internetes tartalmakat kiszolgáló webszerver a belső hálózat felé is „lát", ráadásul az Apache-nak sem illik root jogokkal futnia. Hasonlóan fontos a webes alkalmazások biztonságos kivitelezése, a szoftverek frissítése valamint az adatbázis-kiszolgálók megfelelő módon történő, körültekintő konfigurálása.

Hekkelés forensics szemszögből

Barta Csaba - hasonlóan az elmúlt évekhez - fontos szerepet kapott a konferencián. A Deloitte Zrt. szakembere két előadást is tartott. Először arra világított rá, hogy a Microsoft Active Directory központi adatbázisát képező NTDS.DIT állományból hogyan lehet információkat kinyerni. Ehhez a Windows beépített lehetőségei (például a Volume Shadow Copy) mellett egyedi fejlesztésű megoldásokat is használt. Az Active Directory-ból jelszó hash-eket nyert ki, melyek mellé a jelszavakhoz tartozó történeti adatokat is kigyűjtötte. Ennek azért van jelentősége, mert így jelszóváltoztatási mintákhoz lehet hozzájutni, amelyek végül rávilágíthatnak például arra, hogy amikor egy felhasználónak lejár a jelszava, akkor abban egész egyszerűen felcserélget karaktereket. A jelszóvisszafejtés ezúttal a John The Ripper és egy szótárfájl segítségével valósult meg.

Barta Csaba második előadása a FireWire (IEEE 1394) interfész körül forgott. A bemutató során nyilvánvalóvá vált, hogy a FireWire fejlesztői a gyorsaságért cserébe feláldozták a biztonságot, ugyanis az interfész által biztosított direkt memóriahozzáférés (DMA) érdekes lehetőségeket ad a hekkerek kezébe. Meg kell jegyezni, hogy a FireWire alapú hekkelések nem új keletűek, ugyanis már évekkel ezelőtt publikáltak nemzetközi szinten ezzel kapcsolatos technikákat. Barta Csaba azonban egy olyan megoldást dolgozott ki, amely - a legtöbb eszköztől eltérően - nemcsak Windows XP alatt működőképes, hanem akár a Windows 7-tel vagy a Linux-szal is elboldogul. Windows alatt SYSTEM, míg Linux alatt root jogosultsággal képes megajándékozni a használóját. Ha pedig ez sem lenne elég, akkor még a BitLocker recovery key-t is képes kinyerni a rendszerekből, igaz ehhez az is kell, hogy a hekkelés megkezdésekor a számítógép bekapcsolt állapotban legyen.

A szakember a FireWire alapú támadások kivédése kapcsán elmondta, hogy nem célszerű a számítógépeket alvó vagy készenléti állapotban felügyelet nélkül hagyni. Okosabb ilyenkor kikapcsolni vagy hibernálni a PC-ket. Emellett a FireWire használatát csak szükséges esetben érdemes engedélyezni.

Kiszolgáltatott elektronikus útlevelek

A mai útlevelek elektronikus formában is tárolnak információkat, és RFID-n keresztül képesek adatokat szolgáltatni. Tomcsányi Domonkos a bemutatója során arra világított rá, hogy az e-útlevelek kivitelezése biztonsági szempontból - mind a Magyarországon, mind az egyéb államokban kiadott okmányok esetében - nem sikerült túl meggyőzőre. Oly annyira nem, hogy a konferencián mindenki láthatta, hogy milyen egyszerűen ki lehet olvasni egy ilyen útlevelet, sőt nem sokkal bonyolultabb klónozni sem azt.

Az elektronikus útlevelek a védelem tekintetében számos gyengeséggel küzdenek. Az integritásvédelemből lényeges állományok maradtak ki, a titkosításhoz alkalmazott 3DES kulcs generálható (az útlevél számából, a tulajdonos születési idejéből és az okmány lejárati idejéből), nincs brute force elleni védelem, miközben a valódi biztonságot jelentő megoldások még nem minden esetben szabványosítottak, vagy csak meglehetősen kevés ország alkalmazza azokat. Jó példa erre a még korántsem kellő mértékben elterjedt PKD (Public Key Directory), amely az országok publikus kulcsait tartalmazza. Pedig ezzel megelőzhető lenne az útlevek klónozásakor a publikus kulcsokkal való visszaélés. Napirenden van az úgynevezett Extended Access Control kiterjesztése is, ami jelenleg kizárólag az e-útlevelekben tárolt ujjlenyomatokat védi.

Magyar viszonyok

Az Ethical Hacking konferencián Keleti Arthurnak, a KFKI IT biztonsági stratégájának tolmácsolásában a közönség a magyar biztonsági viszonyokra is rálátást kapott. A szakember felvetette azt az igen érdekes ellentmondást, mely szerint miközben a nagyvilágból sorban érkeznek a nagyobbnál nagyobb biztonsági incidensekkel kapcsolatos hírek (lásd. Stuxnet, RSA, NASA, Epsilon, Google, Sony, stb.), aközben hazánkban mintha egyetlen incidens sem történne. Nem hallani botrányokról, adatvesztésekről, a vállalatoknál és intézményeknél lefolytatott auditok többnyire sikeresek, vagyis minden békésnek látszik. A valóság azonban egészen más, amit a KFKI az etikus hekkelési vizsgálatok során testközelből meg is tapasztal.

Keleti Arthur szerint a megrendelőik 90 százaléka úgy gondolja, hogy náluk minden rendben van. Eközben pedig lehangolóak a jelszókezelési szokások (gyakoriak például a könnyen törhető jelszavak még az adminisztrátorok körében is), az alkalmazások frissítési gyakorisága erősen kifogásolható csakúgy, mint a szoftverek biztonsága. Nem ritka, hogy az etikus hekkerek 3-4 éve nem frissített Apache webszerverekkel találkoznak, és 10-20 perc alatt törhető szoftverek révén bizonyítják, hogy sok minden nincs rendben a biztonság terén. Elmondható mindez a kis és nagyobb cégekről egyaránt. Az előadó tanulságos vállalati, szolgáltatói, hitelintézeti, államigazgatási példákat is említett, természetesen a szervezetek megnevezése nélkül.

Összegzés

Elmondható, hogy a konferencia hozta az elmúlt években megszokott színvonalat, és az előadók is igyekeztek mindent megtenni azért, hogy a közönség figyelmét egy kicsit más szemszögből ráirányítsák napjaink néhány fenyegetettségére. A résztvevőknek ismét lehetőségük nyílt átgondolni, hogy a saját rendszereik mennyire védettek a támadásokkal szemben, miközben testközelből tapasztalhatták meg a védelmi intézkedések hiányának következményeit.