Hacktivity 2013. második nap

Az adatbányászok imádják a közösségi médiát

Az érdekes témákkal kapcsolatban az első nap is voltak már kritikus pontok, átfedések, hiszen néhányszor szívünk szerint mindkét, párhuzamosan zajló előadásra elmentünk volna, a workshopokról nem is beszélve, ám egyet mégis muszáj volt választani. Míg mi például reggel a "dómban" ültünk, addig a nagyteremben Dr. Eszteri Dániel, a Budapesti Rendőr-főkapitányság Számítógépes Bűnözés Elleni Alosztályának bűnügyi előadója a kiberbűnözésről beszélt, amit ugyancsak jó lett volna végighallgatni. Remélhetőleg ezt a feltöltött videókból hamarosan pótolni tudjuk.

Hirdetés

Az indulásnál Bardóczi Ákos "Adatbányászat a közösségi web korában" című bemutatójára mentünk el, mert tetszett a figyelemfelkeltő mottója: The real intelligence hero is Sherlock Holmes, not James Bond (az igazi hírszerzési hős Sherlock Holmes, és nem James Bond). Valóban kellemes meglepetést hozott, mert bár a nyelvészet nem egy egyszerű tudomány, sőt, a vele kapcsolatos szakkifejezések puszta megtanulása is bravúrszámba megy, mindenki könnyen beláthatja, hogy a nyelvészek segítsége nélkül többek közt például hatékony netes keresés sem létezne.

Bardóczi Ákos
Bardóczi Ákos

A Facebook adatok között nem csak a válóperes ügyvédek, hanem a leendő munkáltatók is szívesen szétnéznek, nem is beszélve a youropenbook típusú, vagy az API-n keresztüli kényes adatok kényelmes keresésére tervezett módszerekről, amikkel a droghasználat, vizsgán való csalás, szexuális szokások, főnök nyilvános szidása, vallási hovatartozás és hasonlóakat lehet a felhasználókról kigyűjteni rendkívül egyszerűen. A beírt szövegeink a számítógépes nyelvészeti szakember szerint egy jól definiálható és egyénre jellemző lenyomatot képeznek, így ennek ismeretében a kellemetlenkedő trollok is könnyen azonosíthatókká válnak. Ugyancsak jellemző napi feladattá vált a plágiumok ellenőrzése, ebben viszont ha nem azonos, hanem különböző nyelvek közt kell vizsgálódni, jócskán megnehezíti a munkát. Megtudhattuk, hogy a nyelvi elemzés területén is működnek már hazai törvényszéki szakértők, akik például a névtelen fenyegetők elleni nyomozásokban adnak tanácsot a hatóságoknak, illetve a chatszobák szövegeiből tudják igen nagy hatékonysággal kiszűrni a rejtőzködő pedofilokat.

A következő előadó BSP, azaz Dr. Bartók Sándor Péter volt, aki az informatikai igazságügyi szakértők munkájával kapcsolatosan elmondta, jelenleg nincs egységes módszertan és követelmény, így tulajdonképpen minden szakértő úgy vizsgálódik, ahogy akar. Emiatt aztán úgynevezett módszertani levelek megalkotásával próbálják definiálni, szabályozni, illetve biztosítani a jövőbeni egységes szakmaiságot.

Dr. Bartók Sándor Péter
Dr. Bartók Sándor Péter

Az Igazságügyi Szakértői Kamara (MISZK) az eddig szabályozatlan nyomrögzítési, bűnjel azonosítási megoldások helyébe javasol egy kamarai módszertant, mellyel a szakértők szakszerűen előkészített és konzervált bizonyítékokat kaphatnának. A szakmaiatlan, megalapozatlan szakvélemények időnként problémát okoznak, ezek az egész szakértői közösség számára hátrányosak. Emellett az egyetlen ember által lefedett szakterületek is túlságosan szélesek, lehetetlen például a különféle adatbázis szerkezetek, operációs rendszerek, adathordozók, RAID rendszerek, mobileszközök, okostelefonok vagy könyvelési rendszerek közül mindegyik vizsgálatához egyformán megbízhatóan és professzionális módon érteni, ezekhez a naprakész és drága programokat, technikai eszközöket beszerezni.

Alice eXploitországban

A korábbi kártékony böngésző-kiegészítős előadásairól is ismert Balázs Zoltán lépett ezután a színpadra "Alice in eXploitland" című bemutatójával. Az exploitok elleni védelmek kijátszása az idő múlásával és a folyamatosan fejlődő védelmi mechanizmusok miatt egyre nehezebb feladat. Ennek illusztrálására elmondta, a korábbi támadásokhoz képest manapság már egy ASLR (Address Space Layout Randomization) + DEP (Data Execution Prevention) kijátszása ugyan nem lehetetlen, de azért mindenképpen haladó csoportos kihívás.

Balázs Zoltán
Balázs Zoltán

A védekezésben, a biztonsági rések okozta kockázatok csökkentésében az EMET (Enhanced Mitigation Experience Toolkit) eszközkészlet tehet jó szolgálatot, ennek segítségével ugyanis nem csak a teljes rendszer szintjén, hanem külön-külön bármely alkalmazásra is bekapcsolhatjuk a DEP, SEHOP, Heapspray, ASLR stb. funkciókat. Emellett ugyancsak erősen javasolt eltávolítani a Javát (főként, ha azt egyáltalán nem is használjuk), kikapcsolni a böngészőkliensben a Java plugint, hiszen ha egyedül csak a Metasploit alatt nézünk körül, még mindig számos exploitot találunk hozzá. Persze a biztonsági frissítésekkel naprakész operációs rendszer, illetve legfrissebb verziójú böngészőkliens futtatása is hasonlóképpen fontos.

A továbbiakban az ESET-től érkező Robert Lipovskyt szólították, aki a Facebook alatti kártevőkről tartott előadást. Elsőként a Win32/Delf trójait hozta szóba, amely egyaránt terjedt Facebook és az orosz VKontakte alatt is. Ahogy előzőleg Hypponen is említette, itt is szerepet kapott a megfertőzött gépekkel történő Bitcoin bányászat. A másik esetben egy eredetileg 2012 márciusában leleplezett botnet kapcsán olyan érdekességeket észleltek, hogy a PokerAgent kártevő nem csak a Facebook belépési adatokat lopta el, illetve az esetlegesen itt megadott bankkártya információkat, hanem emellett célzottan igyekezett a Zynga Poker játékosokat is megtámadni. Elsősorban izraeli felhasználók voltak veszélyben, és különféle érdekesnek látszó videós tartalmak ajánlásánál egyrészt egy hamis hasonmás Facebook-oldalra kerültek a naiv kattintók, ahol az adathalász oldal ellopta a nevüket ésjelszavukat, ezzel több, mint 16 ezer felhasználó adata került illetéktelen kezekbe.

Robert Lipovksy
Robert Lipovksy

Másrészt a videó megtekintése előtt/helyett egy állítólagos kodek telepítését kérték tőlük, és aki ezt megtette, az magát a kártevőt telepítette fel. Vicces módon arra is volt példa, hogy az állítólagos kodek telepítése előtt vakriasztásra hivatkozva arra kérték a felhasználót, kapcsolja ki időlegesen a vírusvédelmet. A Zynga Poker kapcsán le kell szögezni, egyáltalán nem szokványos, hogy ilyen extrém funkcionalitás kerüljön egy botnetes kártevőbe. A védekezéshez kapcsolódva pedig arra hívta fel a figyelmet a szakember, hogy semmiképpen ne adjuk meg a Facebook rendszerében a bankkártya adatainkat.

Rejtett eljárások Androidon

Női előadót tisztelhettünk Axelle Apvrille személyében, aki az Android Dalvik Executables (DEX) programokról szólva bemutatta, hogyan lehet egy eljárást könnyen elrejteni. Kicsit a rootkites hookra emlékeztetően a kísérleti (PoC, Proof of Concept) kódjában az elrejtett eljárás láthatóságát nem csak ki-be lehetett kapcsolni, de meg is lehetett azt hívni.

Axelle Apvrille
Axelle Apvrille

A rejtés hatására a szokványos dissasemblerek (baksmali, apktool, Androguard, IDA Pro stb.) egyáltalán nem érzékelték. Az ellenőrzési módszerek hiánya miatt egy ilyen technika esetleges alkalmazása valós veszélyt jelenthet például egy jövőbeni rejtőzködő kártevő formájában, azonban egyúttal bemutatásra került az a módszer is, amellyel sikeresen lehet az ilyen rejtett kódokat kimutatni.

Két előadás között aztán nem is workshopra, hanem egész pontosan termékbemutató előadásra jutott egy kis időnk, így a földszinti kisebb termek egyikében a Secunia alkalmazás patch menedzsment eszközéről hallhattunk pár szót Kocsis Tamástól és Rácz Balázstól. Többek közt megmutatták, hogy a Secunia CSI, azaz Corporate Software Inspector hogyan képes az alkalmazásfrissítési munkában segíteni a nagyvállalatoknál: a tesztelt frissítésekből egyszerűen csomagokat állíthatunk össze, ezek a Windows környezetben azonnal használhatók, míg Macintosh illetve Linux környezetben csak listát kapunk ezekről. Élhetünk ezek mellett a rendszeres frissítési értesítésekre való feliratkozási lehetőséggel is, amely szintén hasznos segítség lehet. Magánemberek esetében a Linux általában mindent frissít, a Windows futtatásakor a PSI (Secunia Personal Software Inspector) segíthet a naprakészen tartásban, és a Mac rendszereknél is létezik megoldás, hiszen az ottani update csak az Apple szoftvereket frissíti: ez pedig az AppBodega program, köszönet érte Wollner Zolinak!

Utolsóként Tóth László és Spala Ferenc előadását láthattuk "Mi a közös az Oracle-ben és Samsungban? Új szemszögből vizsgálják a titkosítást" címmel. Az Androiddal szemben a Samsung változtatott a titkosítási módszerén, például 128 helyett 256 bites kulcsot használt, és nincs benne zero padding sem, ám a szakemberek mégis sikeresen tudtak hozzáférni a jelszóhoz.

Tóth László és Spala Ferenc
Tóth László és Spala Ferenc

Demójukkal pedig azt is megmutatták, hogy a Samsung eszközök által használt lemeztitkosítást hogyan lehetett megkerülni, és mégis hozzáférni a titkosított tárhely tartalmához. Ehhez a Sandy nevű Python programot, valamint saját fejlesztésű John the Ripper moduljukat is bevetették. A fejlesztők számára mindebből talán az is tanulság lehet, hogy a kulcsokat, jelszavakat alaposabban el kell tüntetni a memóriából, valamint a TrustZone technológia sem mindenható.

Összegezve a két napot, szépen bevált, hogy a prezentáció során vetített diák mindig angol nyelvűek voltak, míg az előadás szabadon lehetett akár magyar, akár angol. Dicséretesen sokan éltek az angol előadás lehetőségével, így a jelen lévő külföldiek jobban értették, másfelől az előadások videofelvételei így sokkal szélesebb közönséghez tudnak majd eljutni, és néhányan talán külföldi hackerkonferenciákon is előadhatnak majd.

Mindent egybevetve tartalmas két napot tudhatunk magunk mögött, kedvet és ötleteket nyerhettünk, lesz persze mit kipihenni is, de remélhetőleg minden résztvevőnek tele van már a feje azokkal a tervekkel, hogy legközelebb mit szeretne próbálgatni, letesztelni, elolvasni, megnézni, visszafejteni, szétszerelni, meghackelni.

Az írás először az Antivírus blogon jelent meg, de a szerző azért, hogy lényegesen nagyobb olvasóközönséget érjen el, felajánlotta közlésre az IT café részére is. Olvasóink nevében is köszönjük!

Azóta történt

Előzmények