Az első Hacktivity óta a konferencia nagy utat járt be, és mára elmondható, hogy az informatikai rendezvények eseménynaptárának egyik meghatározó szereplőjévé nőtte ki magát. Természetesen a konferenciát övező, évéről évre fokozódó érdeklődés a szervezők vállára is mind nagyobb terhet ró, akik egyre magasabbra teszik a mércét. Idén az egyik legfontosabb tervük az volt, hogy a Hacktivity nemzetközi szinten is ismertté váljon. Ennek megfelelően a rendezvényen minden előadást folyamatos szinkrontolmácsolás kísért. Azt nem mondhatjuk, hogy rengeteg külföldi látogatóval lehetett találkozni az eseményen, de azért főként környező országokból érkező vendégeket fel lehetett fedezni.
A Hacktivity a hagyományoknak megfelelően idén is két napon keresztül várta a látogatókat. A konferencia szervezői meglehetősen széles skálán mozgó témákat karoltak fel. Így a publikum nemcsak a hekkerkedés rejtelmeibe tekinthetett be, hanem az informatikai biztonság egy jóval nagyobb szeletébe. Az elhagyhatatlan – a sebezhetőségek valamint a puffertúlcsordulási hibák kihasználása, a Metasploit használata, a WiFi hekkelés, a jelszótörés, stb. – témák mellett a közönség az IT-biztonság történetével, a titkosítási megoldások magyar vonatkozásaival, és nem utolsó sorban a hekkerkedés jogi vonatkozásaival is megismerkedhetett.
Meg kell ismerni a fenyegetettségeket
A világhírű szakember az informatikai biztonság egyik meghatározó alakja. A biztonsági kérdésekhez való hozzáállása, az előadásmódja és a szókimondó természete a Hacktivity körülbelül 1000 fős közönségét nemcsak komoly érdeklődéssel töltötte el, hanem sokszor derűre is fakasztotta. Bruce Schneier a rendelkezésére álló időt nem PowerPoint prezentációk végigpörgetésével töltötte, hanem azzal, hogy válaszoljon a közönség kérdéseire. Megtudhattuk, hogy a szakember szerint a felhasználók napjainkban nem biztonságtudatosak, ugyanakkor elvárják, hogy biztonságban legyenek. Ahhoz azonban, hogy a biztonság terén jó döntéseket lehessen hozni meg kell ismerni a technológiát és a fenyegetettségeket is.
A konferencián többször szóba került, hogy általában nem a különféle informatikai megoldások biztonságával van probléma, hanem azok használatával, implementálásával. Schneier ezt a titkosítás kapcsán erősítette meg, ugyanis elmondta, hogy a titkosítási technológiák feltörése ugyan lehetséges, de mégsem valószínű. Napjaink incidensei során sem a kriptográfiai módszereket veszik célba, hanem azok sebezhető módon történő megvalósítását használják ki a támadók, akik pontosan tudják, hogy vannak kifizetődőbb módszerek is adatszerzésre, mint a titkosítások közvetlen törése. A szakember kifejtette a véleményét az adatvédelemmel kapcsolatban is. Elmondta, hogy szerinte a mai internetes, közösségépítős világunkban sem fog kihalni az adatvédelem, ugyanis az jóval értékesebb számunkra, mintsem, hogy feladjuk az adatainkért való küzdelmet.
Tű a szénakazalban
Az idei Hakctivity-n fontos szerepet kapott az igazságszolgáltatás számítógépes bűnözéssel kapcsolatos tevékenységének bemutatása, melynek során a szakértői munkába és az ügyvédek, jogászok által vívott csatákba is betekintést nyerhetett a közönség. Nagy érdeklődés fogadta Illési Zsolt igazságügyi szakértő előadását, aki a hazai informatikai szakértés nehézségeibe, lehetőségeibe vezette be a konferencia résztvevőit. Elhangzott, hogy a szakértőknek sokszor tűt kell keresniük a szénakazalban, különösen amióta az adattárolók kapacitása rohamosan megemelkedett. Ráadásul a bizonyítékok utáni kutatással járó, sokszor időigényes feladatokat akkor is el kell végezni, amikor már csak fájltöredékek állnak rendelkezésre. Illési Zsolt, a data carving (adatvésés) technikáját is ismertette, melynek során a szakértőnek fájltöredékekből vagy nem allokált tárterületekről kell visszanyerniük adatokat.
Az igazságügyi szakértő előadását követően Dr. Dudás Ágnes ügyvéd azt igyekezett tudatosítani a hallgatóságban, hogy a szoftverek telepítésekor olvasható licencfeltételek esetében nem célszerű azonnal az „I agree...” nyomógombra kattintani. Ennek elsősorban az az oka, hogy ezek a végfelhasználói szerződések – legyenek azok hosszabbak vagy rövidebbek – minden esetben fontos információkat tartalmaznak a szabad felhasználású és a kereskedelmi szoftverek esetében egyaránt.
A fejlesztőknek pedig különösen célszerű átböngészniük ezeket, hiszen az egyes alkalmazások kiegészítésekor, bővítésekor érdemes tudniuk, hogy milyen jogaik vannak a saját fejlesztéseiket illetően. Mindez az olyan alkalmazások esetében is fontos, mint amilyen például a Truecrypt, a Nessus, a Metasploit vagy az nmap. Sok kellemetlenség előzhető meg, ha tisztában vagyunk például azzal, hogy a Truecrypt használatát nem nézik minden államban jó szemmel, vagy, hogy egyes alkalmazások licencfeltételében az is szerepel, hogy a számítógépeink a telepítés után bármikor ellenőrizhetővé válnak.
Középpontban a sérülékenységek
A Hacktivity kötelező elemei azok az előadások, amelyek a szoftverekben fellelhető sérülékenységek kihasználási lehetőségeit mutatják be. Az első napon különösen nagy hangsúlyt kaptak ezek a prezentációk. Nemcsak elő demók bemutatására került sor, hanem workshopok formájában a közönség is csatlakozhatott az előadók ténykedéséhez. Miután Pánczél Zoltán és Spala Ferenc bevezette a közönséget a puffertúlcsordulási hibák rejtelmeibe, azután Kabai András, a Nemzeti Hálózatbiztonsági Központ vezető IT-security specialistája azt is bemutatta, hogy ezek a hibák miként használhatók ki abban az esetben, ha az operációs rendszer megpróbálja megakadályozni a hekkert a munkájában. Az előadás azért is érdekes volt, mert idén számos olyan sérülékenységre derült már fény, amelyek az ASLR (Address Space Layout Randomization) és a DEP (Data Execution Prevention) megkerülésére is alkalmasak lehetnek.
A szakember e támadási lehetőségeket ezúttal testközelbe hozta, és a publikum előtt, lépésről lépésre szemléltette, hogy leleményes trükkök segítségével miként lehet megkerülni ezeket a védelmi módszereket. Az előadás végére elérte, hogy többek között az Immunity Debugger, stack és regiszter trükközés, ROP (Return-Oriented Programming) technikák valamit a Kernel32.dll-hez tartozó WinExec függvény használatával egy sebezhető audioszoftverben való fájlmegnyitáskor tetszőleges alkalmazás (jelen esetben a calc.exe) elinduljon.
Mit kezdjünk a Web 2.0-val?
Krasznay Csaba, HP Magyarországi IT biztonsági tanácsadója a Web 2.0 veszélyeinek új megközelítési módban történő bemutatására vállalkozott. Az internetes közösségépítés és a különféle online szolgáltatások használata az egyéni és a vállalati felhasználókra, sőt az egyes államokra nézve is kockázatot jelent. Azonban az előadás során elhangzott – hasonlóan, ahogy Bruce Schneier is vélekedett a titkosításról – hogy a Web 2.0-ás szolgáltatások alapvetően biztonságosak, és elsősorban azok használatával vannak problémák. A nagy kérdés az az, hogy észrevesszük-e a veszélyeket, vagy éppen az incidenseket, és azokra megfelelően tudunk-e reagálni. Egy új közösségben élünk, amelyre még nem vagyunk felkészülve, oly annyira, hogy sokszor még a jogi háttér sem biztosított. Krasznay Csaba szerint a megoldást a matematika és a tömegek fogják szolgáltatni, ugyanis olyan mennyiségű információ lesz elérhető, hogy azok végül már nem igazán lesznek érdekesek.
Történelmi szekció
Az informatikai konferenciákon általában a jelen és a jövő technológiai megoldásai kerülnek szóba. A Hacktivity szervezői azonban úgy gondolták, hogy egy történelmi szekcióval is készülnek. Az előadók, akik az informatika és az IT-biztonság hazai fejlődését a kezdetektől végigkövették, ismertették, hogy Magyarországon az informatikai biztonság a különböző gazdasági, társadalmi és politikai környezetek közepette miként jutott el a mai szintre. Dr. Muha Lajos, a ZMNE Informatikai Tanszék tanszékvezető főiskolai tanára érzékeltette, hogy azok a kockázatok, amelyekről napjainkban is szó esik, gyakran évtizedes problémák. Ide tartozik többek között a vírusvédelem és a kisugárzásvédelem is. Farmosi István, az AerusDPG ügyvezetője pedig 1988-ig kalauzolta vissza a közönséget. 1988 őszén jelent meg ugyanis az első, vadon terjedő (Cascade 1701) vírus. A szakember elmondta, hogy annak idején nagyon nehéz volt elfogadtatni az emberekkel, hogy vírusok a számítógépek esetében is támadhatnak, ezért a kockázatok tudatosítása már akkor rendkívül fontossá vált.
Szervezés és szakmaiság
A Hacktivity összességében hozta a tőle elvárt színvonalat, azonban a rendezvény kissé döcögősen indult. Bruce Schneier előadása majd 45 perces késéssel kezdődött, mivel a látogatók egészen addig kígyózó sorokban álltak az utcán várva arra, hogy bejuthassanak a rendezvényre. A Hacktivity közönsége azonban a türelmével segítette a rendezőket, akik igyekeztek úrrá lenni azon a problémán is, hogy az előadótermekbe nem mindenki fért be, és ezért kivetőkkel próbálták megoldani a helyzetet. Azonban nyilvánvalóan a látogatók nem azért igyekeztek a rendezvényre, hogy a világhírű szakember előadását kivetítőn kövessék nyomon, és a külföldi vendégek sem azért látogattak ide, hogy az ajtóban, vagy épp a folyosón álldogálva hallgassák a szinkrontolmácsot. A helyzet azonban idővel normalizálódott. A nehézségek ellenére dicséret illeti a szervezőket azért, mert a konferencia szakmaisága nem szenvedett csorbát. Általánosságban elmondható, hogy a marketinget sikerült kirekeszteni az előadótermekből, és az előadások színvonala, az előadók felkészültsége sem okozott csalódást.
A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
