2. Hírek
  3. Biztonság

Újra a világ legjobbjai között a magyar hackerek

„Ezek hasonló jellegű sérülékenységek, mint a BKK nemrég felfedezett esete, csak persze jóval bonyolultabbak.” Kétezer induló közül lettek másodikok.

  • Írta:
  • Forrás: IT café

Hirdetés

Az IT café olvasói számára ismerős lehet a !SpamAndHex hackercsapat neve, hiszen az elmúlt években többször is beszámoltunk nemzetközi versenyeken elért sikereikről. Nos, ezek számát egy újabbal szaporították, ugyanis a Google CTF (Capture The Flag) 2017 versenyén a nagyszerű második helyet szerezték – a világ minden részéről összesen mintegy kétezer csapat nevezett, majd a zürichi döntőben a legjobb tíz mérte össze tudását.

A !SpamAndHex
[+]

A !SpamAndHex annak idején a Budapesti Műszaki és Gazdaságtudományi Egyetem CrySyS Lab kutatóműhelyében szerveződött meg, jelenleg 15 aktív tagjuk van, vannak köztük egyetemi hallgatók, de közülük többen már neves információbiztonsági cégeknél dolgoznak, de olyan is akad, aki a Google-nál áll alkalmazásban.

Az érintett Tresoritnál röviden összefoglalták, hogy a versenyen milyen típusú feladatokat kellett megoldani:

  • Kriptográfia: különböző adattitkosítási és védelmi mechanizmusokat kellett megtörni, kijátszani. Esetenként a feladatok már ismert és megbukott kriptográfiai megoldásokat mintáznak. Ilyen volt például az a hiba, ami a PlayStation 3 mesterkulcsának feltörésében is szerepet játszott. Volt olyan feladat, amit Daniel Bleichenbacher készített, aki a szakma elismert kriptográfusa és a nevéhez fűződik több, a kilencvenes évek végén felfedezett gyakorlati támadás, amelyek miatt az akkoriban használt titkosítási eljárásokat modernebbre kellett leváltani
  • Web: tipikusan a web mindennapi sérülékenységeinek trükkösen kihasználható, így megfelelő kihívást nyújtó változatai. „Ezek hasonló jellegű sérülékenységek, mint a BKK nemrég felfedezett esete, csak persze jóval bonyolultabbak. Tekintve, hogy a szervező Google egy főleg webes szolgáltatásokat nyújtó cég, a feladatkészítők a Google Security csapatából kerültek ki. Ők mindennap a legkörmönfontabb támadásokat hárítják el a kereső óriás ellen, így nem meglepő, hogy nagyon magas színvonalú feladatokkal találkozhattunk ebben a kategóriában is” mondja Hegedűs Tamás, a csapat hackere
  • Reverse engineering: vagyis a programok visszafejtése. A programok visszafejtése során a szakértők egyrészt meg akarják érteni egy program belső működését, másrészt megpróbálnak új vagy rejtett funkciókat találni. A Google versenyén többek között egy valódi nyerőgép működésének a megértése volt a feladat, rá kellett jönni, hogyan lehet megnyerni a jackpotot. Ehhez szét kellett csavarozni a gépet, le kellett tölteni a rajta szereplő programot, majd rájönni, hogy hogyan lehet feltörni azt és így rávenni a nyerésre
  • Pwning: a számítógépek alacsony szintű feltörésének művészete: ilyenkor egy hátsó kapu nélküli, elméletben helyesen működő rendszerben kell hibát találni, és tipikusan távolról, fizikai hozzáférés nélkül, feltörni egy szervertípusú rendszert. A pwning az "own" szóból származik és azt jelenti, hogy a saját uralmunk alá vonjuk, tehát kvázi birtokoljuk más rendszerét. Ezek a feladatok tipikusan olyan, mindennapi szoftvereinkben használt hibákat mintáznak, amelyek segítségével mobiltelefonokat, böngészőket, operációs rendszereket törnek fel a jó- és rosszindulatú hackerek
  • Kapcsolódó cégek:
  • BME

Előzmények