Színpadra léptek az etikus hekkerek

Magyarországon immár harmadik alkalommal került megrendezésre az Ethical Hacking konferencia. Az eseményt szervező NetAcademia Oktatóközpont elsősorban az informatikai biztonság felelőseire és felügyelőire, így a rendszergazdákra és az IT-biztonsági szakemberekre számított, akik valóban szép számban jelentek meg az eseményen, és megtöltötték a Cinema City Aréna egyik mozitermét.

„Az elmúlt évekhez hasonlóan idén is az a cél, hogy a konferencián gyakorlatorientált előadások – valós hekkek – keretében mutassuk be napjaink jellegzetes IT-biztonsági problémáit” – mondta Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője a rendezvényt megelőzően. Így aztán kíváncsian vártuk, hogy a 2010-es rendezvényen is sikerül-e megtartani az elmúlt évek jó hagyományait, és valami újat mutatni a láthatóan nagyon kíváncsi közönség számára.

Sebezhető weboldalak, sérülékeny fejlesztői platformok

Az Ethical Hacking konferencia a weboldalak biztonsági problémáit alapvetően két irányból közelítette meg. Először Illés Márton és Gyöngyösi Péter a BalaBit képviseletében arról beszélt, hogy a szerverek és a kliensek oldaláról is kockázatokat hordozó sebezhetőségek miként használhatók ki. Az előadók mondataiból az érződött, hogy ugyan számos bevetésre kész módszer létezik a weblapok támadására, de amennyiben egy hekker ezek között nem talál számára megfelelő megoldást, akkor webfejlesztői ismeretek és némi furfang birtokában, saját maga is felderítheti a biztonsági réseket, majd azokat kihasználhatja. Egy bemutató során a két szakember egy saját számlázóprogram hekkelésén keresztül ismertetett néhány lehetőséget. Ezek alkalmasak voltak jelszavak megkaparintására, cross-site scripting alapú manipulációkra, de például az is kiderült, hogy egy JPG állomány kisebb mértékű szerkesztgetésével miként lehet megkerülni a képfeltöltő oldalak védelmét, majd saját kódokat futtatni. Az előadás legfontosabb tanulsága az volt, hogy a hekkerek sokszor könnyen kivédhető hibákat használnak ki, amelyek ellen a fejlesztők sok esetben a bemeneti és kimeneti paraméterek gondos validálásával könnyedén védekezhetnek, vagy védekezhetnének.

A konferencia egy későbbi bemutatója azonban arra is rávilágított, hogy sokszor maguk a fejlesztői platformok sincsenek a toppon biztonsági szempontból. Balássy György, a Budapesti Műszaki és Gazdaságtudományi Egyetem tanára ugyanis az ASP.NET-et vette górcső alá egy etikus hekker szemüvegén keresztül, de többször hangsúlyozta, hogy gyengeségek korántsem csak a Microsoft platformjának esetében fedezhetők fel. A szakember az előadása során a session kezelést, az űrlapalapú hitelesítést valamint a ViewState-tel kapcsolatos aggályokat vette sorra. Ez utóbbi esetben igazolta, hogy egy letiltott vagy elrejtett webes vezérlő egy etikus hekker számára különösebb nehézségek nélkül vehető használatba. Balássy György azt tanácsolta a fejlesztőknek, hogy ne higgyenek vakon a fejlesztőkörnyezetekben, és ne féljenek átírni, kiegészíteni a platformok szolgáltatásait.

Gyengélkedő vezeték nélküli hálózatok

Egy etikus hekker konferenciának szinte kötelező eleme legalább egy olyan előadás, amely a vezeték nélküli hálózatok támadását mutatja be. Nos, az idei Ethical Hacking-ből sem hiányzott mindez, hiszen Kocsis Tamás, a biztributor CTO-ja és Dnet „hekkertársa" a WiFi gyengeségeit vette szemügyre. Az előadás során elsősorban arra világítottak rá, hogy a WPA-TKIP biztonság nem igazán jelent akadályt egy hekker számára, aki emellett többek között az ad hoc hálózatok valamint a Rogue AP-k által kínált lehetőségekkel is élhet. A bemutató legérdekesebb része azonban annak ismertetése volt, amikor a közönség azzal szembesülhetett, hogy egy – hazánkban is széles körben használatos – WiFi eszköz fizikai megszerzésével, és az azon található egyik IC soron porton keresztüli kiolvasásával milyen egyszerűen - pár forrasztással - megszerezhető minden releváns információ a készülékből. A tanulság az, hogy vállalati környezetekben a titkosítás mellett a hitelesítésre, a WiFi tűzfalak és IPS eszközök használatára valamint a fizikai védelemre is oda kell figyelni

Bányászkodás a regisztrációs adatbázisban

A tavalyi Ethical Hacking konferencián Barta Csaba a Deloitte Forensic Investigator szakembere már bevezette a közönséget a Computer Forensics néhány rejtélyes zugába. Az idei rendezvényen megtoldotta mindezt egy lépéssel, és egy saját fejlesztésű rootkit segítségével hekkerkedett, majd nyomozott. Egy olyan kódot készített, illetve mutatott be, amely minden víruskereső számára teljesen láthatatlanul működik, és képes a felhasználói jelszavak memóriabeli reprezentációjának kitörlésére. Vagyis a támadó szabadon beléphet a rendszerbe, ott tetszőleges műveleteket hajthat végre, és amikor végzett a feladatával, akkor visszaállíthatja az eredeti jelszót. A Barta Csaba féle kód elérhetővé tételén a szakemberek még dolgoznak, hiszen egy ilyen rootkit óvintézkedések nélküli publikálása nemcsak az etikus hekkerek figyelmét kelti fel.

Etikus hekkerek kellenének a hadseregben

A konferencián előadást tartott Kovács László, a Zrínyi Miklós Nemzetvédelmi Egyetem oktatója is, aki az információs hadviselésről és a kritikus infrastruktúrák támadhatóságáról beszélt. Elmondta, hogy 1991 óta beszélhetünk információs háborúról, melynek során az egyik legfontosabb szempont az információs fölény megszerzése. A konferencia témájához kapcsolódóan Kovács László kifejtette, hogy véleménye szerint a hadseregben is szükség lenne etikus hekkerekre, akik a tudásukkal, tapasztalatukkal és a fehérkalapos hekkereknél megfigyelhető elkötelezettséggel tevékenykedhetnének. Noha például az amerikai és a német hadseregben nem szokatlan az etikus hekkerek alkalmazása, Magyarországon ez még korántsem valósult meg, pedig szükség lenne ezekre a szakemberekre.

Vájkáljunk a kódokban

Ahogy a WiFi hálózatok törése, úgy a forráskódokban való vájkálódás, a sérülékenységek utáni keresgélés és a biztonsági rések kihasználása is szerves részét kell, hogy képezze egy etikus hekker konferenciának. Ezek nélkül ugyanis egy penetration teszt aligha lehet teljes körű. A témában Zsíros Péter, a NetAcademia oktatója fuzzer segítségével egy FTP alkalmazásban keresett meg egy biztonsági rést, amelynek kihasználásával bejutott egy szimulált, tűzfallal felvértezett vállalati hálózatba. A kódokban rejlő sérülékenységekkel kapcsolatban Kabai András, a PTA CERT-Hungary szakértője is tartott egy bemutatót, melynek során a digitális tojásvadászatba, azaz az Egg Hunter technika rejtelmeibe vezette be a nagyérdeműt. Ennek során mindenki számára nyilvánvalóvá vált, hogy egy puffertúlcsordulási hiba milyen nagy értéket jelent egy hekker számára, aki ezáltal a kódjait tetszése szerint futtathatja le. Végül Buherátor lépett a színpadra, aki egy érdekes tényre hívta fel a figyelmet. Mégpedig arra, hogy a fejlesztők által kiadott patch-ek miként segíthetik a hekkerek dolgát. A hibás és a javított állományok összehasonlításával ugyanis értékes információk szerezhetők, amik aztán a nem megfelelően frissített rendszerek elleni támadások alapjául szolgálhatnak. A jó hír azonban az, hogy e támadások ellen rendszeres szoftverfrissítésekkel kitűnően lehet védekezni.

Az idei Ethical Hacking konferenciáról összességében elmondható, hogy a hagyományoknak megfelelően, valóban gyakorlatiasra sikerült, és számos olyan biztonsági problémára, sokszor könnyen orvosolható hiányosságra világított rá, amiket a biztonsági szakembereknek és a fejlesztőknek is szem előtt kell tartaniuk a mindennapi munkájuk során. Ugyanakkor az is kijelenthető, hogy a hazai etikus hekker társadalom egyre aktívabb, és mind fontosabb szerepet tölt be az informatika biztonságosabbá tételében.