Immár hatodik alkalommal szervezte meg a NetAcademia az Ethical Hacking konferenciát. A téma izgalmas, és kellően népszerű is: technikák, melyekkel kijátszhatók egy informatikai rendszer védelme. A hagyományoknak megfelelően az előadásokat demók színesítették. A közel 500 fős közönség tehát nem unatkozott: az előadók egy-egy – esetenként korántsem bonyolult – fogásait, melyekkel könnyedén hatolták át a védelmi vonalakon, azt a nézősereg gyakran hangos nevetéssel és tapssal honorálta. (A konferenciáról a Biztonságportál készített összefoglalót.)



_{(Fotó: Fábián Zsuzsa)}

Pofonok völgye ■ A különböző bemutatókban az etikus hackerek sorra osztották a pofonokat a vírusvédelmeknek, helyinek vagy cloudosnak egyaránt. Ezek a bemutatók csupán azt bizonyították, hogy a sokszor megbízhatónak vélt biztonsági megoldások könnyen megkerülhetők lehetnek. De féreértés ne essék: a bemutatók nem azt kívánták demonstrálni, hogy a biztonsági eszközök fölöslegesek. Sokkal inkább azt, hogy bár nem mindenhatóak, azért alkalmazásukhoz tudatosság kell.

Bár a vírusvédelmek gyengeségeit számos előadás taglalta, két prezentációt kiemelnénk. Marosi Attila IT-biztonsági szakértő előadása a vírusvédelmek megkerülésére koncentrált. Marosi bemutatta, hogy az internetről bárki számára beszerezhető eszközök és megfelelő programozói tudás birtokában milyen könnyen lehet átejteni napjaink víruskeresőit. Az előadása során a közönség szeme láttára írt és fejlesztett tovább egy olyan kódot, amit egyre kevesebb vírusvédelmi alkalmazás tudott detektálni a VirusTotal.com és virtuális gépeken futtatott biztonsági szoftverek bevonásával végzett tesztek során.

A szakember alapjában véve egy Metasploitból kinyert payloaddal „kísérletezett”, amelynek segítségével távoli (shell_reverse_tcp) hozzáférést szerzett a fertőzött számítógépéhez. Először a payloadot csak szimplán elhelyezte egy C-kódban, de már ezen is elvérzett néhány védelem. Aztán mind több víruskereső adta fel a küzdelmet, amikor az előadó elkezdte bevetni a kódoláshoz használható msfencode-ot és a XOR-alapú technikákat. Azért, hogy a hagyományos biztonsági csomagokban található tűzfalak se jelentsenek számára akadályt, jött a kódbefecskendezés, aminek során futó windowsos alkalmazásokba (folyamatokba) illesztette be a kódját, persze mindent távolról vezérelve. Amikor már csak néhány biztonsági program maradt talpon, akkor jött az emulációs eljárások (sandbox) hatástalanítása.

Ez utóbbi kapcsán érdekes megemlíteni, hogy az egyik víruskereső védelmén már egy-két késleltető (sleep) utasítás beépítése is kifogott. Az antivírusok ugyanis nem a végtelenségig vizsgálják a fájlok viselkedését az e célra elszeparált környezetükben, és előbb-utóbb „feladják” a küzdelmet. Az előadó végül elérte, hogy a 46 különféle, VirusToal.com által támogatott vírusvédelmi motor egyike se jelezze károsnak a szerzeményét.



_{(Fotó: Fábián Zsuzsa)}

Ködös felhővédelmek ■ Nem jártak sokkal jobban a felhőalapú vírusvédelmi megoldások sem. Ezeket Buherátor nével híressé vált blogger, Varga-Perke Bálint (Silent Signal) vette alaposabban szemügyre. A cloud AV megoldásoknak kétségtelenül számtalan előnyük van, de mint ahogy arra az előadásában is rávilágított, nem minden fenékig tejföl.

Milyen problémákkal is kell számolni? Mindenekelőtt ha egy felhőalapú védelem elveszti az internetkapcsolatot, akkor a hatékonysága erősen csökkenhet. A rendelkezésre állás pedig nemcsak akkor csorbulhat, amikor például egy szolgáltatónál technikai nehézség üti fel a fejét, hanem egy támadó is könnyedén gondoskodhat arról, hogy ne lehessen a felhőbe kilépni. A hacker azt is a saját javára fordíthatja, hogy a szignatúra- és szoftverfrissítések gyakoribbá váltak. Buherátornak sikerült rávennie egy felhőalapú vírusvédelmet, hogy töltsön le manipulált fájlokat, és egy újraindítás után már élt is a reverse shell, amit ilyen módon éppen a biztonsági szoftver biztosított.

Ennél is nagyobb veszélyforrás Buherátor szerint, hogy egy felhős környezetben rengeteg ügyfél dolgozik párhuzamosan ugyanazon központi menedzsmentet biztosító rendszeren. Tehát ha az kompromittálódik, akkor az széleskörű támadásokhoz nyit kapukat. A szakember ezt saját tapasztalatából hozott példával szemléltette: talált egy sebezhetőséget, amivel megszerzett egy másik ügyfélhez tartozó telepítőfájlt az egyik biztonsági cég rendszeréből. Ennek segítségével (mivel a menedzsment felülethez tartozó hitelesítő adatok kiolvashatók voltak az állományból) szabadon hozzáfért a webes konzolhoz, és akár egy teljes vállalat vírusvédelmét lekapcsolhatta volna. A hibát jelezte az érintett gyártónak, amely azt a konferencia előtt orvosolta.

Buherátor szerint a cloudos vírusvédelmet inkább kiegészítő elemnek kell tekinteni, nem szabad kizárólag azokra hagyatkozni. Mivel – mint ahogy a példa is mutatja – a gyártók is hibázhatnak, célszerű olyan céget választani, amely a saját alkalmazásaiban, szolgáltatásaiban rejlő sebezhetőségekről elérhetővé teszi a megfelelő mélységű technikai információkat, és nem titkolózik.

Mobilok és hackerek ■ Tomcsányi Domonkos (Boadree) az iOS-alapú készülékek sebezhetőségével foglalkozott, főleg a Wi-Fi hálózatok kezelésén keresztül. Tomcsányi azt demonstrálta, hogy miként lehet kihasználni azt, hogy az iOS egy előre meghatározott weboldal lekérdezésével győződik meg arról, van-e internetkapcsolat, valamint hogy képes a hotspotokhoz tartozó weboldalak megjelenítésére. Ezek az oldalak azonban hamisíthatóak. Mindez lehetőség ad például JavaScript-alapú támadásra, melynek során rávehető a felhasználó, hogy adja meg az Apple ID-hoz tartozó jelszavát. Emellett különféle (PDF, DOC, XLS, PPT) formátumú fájlokkal kapcsolatos sérülékenységek is kihasználhatók.

A szakember egy olyan hackertechnikát is bemutatott, amely az xmlconfig konfigurációs fájlok manipulálására épül. Ezeket a fájlokat az Apple a vállalati környezetekhez tervezte. Használatukhoz egy érvényes SSL-tanúsítványra, valamint az Apple ingyenes Configuration Utility szoftverére van szükség, amivel különféle policy beállítások juttathatók fel a kiszemelt készülékekre. A védekezés kulcsa ebben az esetben is a felhasználói tudatosság, bár az Apple is tehetne a biztonság erősítéséért – vélte a szakember.

Kovács Zsombor (Deloitte) szintén az Apple mobil eszközeit vette célba. Előadásában a múlt évi Ethical Hacking konferencián már „meghekkelt” mobil dokumentumkezelő alkalmazás problémáival foglalkozott. Azt mutatta be, hogy a fejlesztői akarat ellenére miként maradhat sérülékeny egy alkalmazás. Először a dokumentumkezelőbe tavaly óta beépített kliensoldali tanúsítványkezelést tette hasznavehetetlenné: többe között az IDA-disassembler technika bevetésével az alkalmazás memóriaterületének (függvényeinek) manipulálásával átejtette az ellenőrzést. Utána pedig azt használta ki, hogy a szoftver a session információkat egy SQLite adatbázisban tárolja, ami viszont a rekordok törlésekor nem féltetlenül távolítja el fizikailag az adatokat, hanem csak töröltnek jelöli azokat. Emiatt viszont a munkameneti információk helyreállíthatók, ami kapóra jön a bejelentkezéshez. Kovács Zsombor szerint éppen ezért az Apple készülékeknél nagyon fontos. hogy azokat védjük az illetéktelen fizikai hozzáférésektől, például a képernyőt zároló kód segítségével.

A közönsége emellett megismerhette Balázs Zoltán (Deloitte) tavaly már bemutatott Zombi Tűzróka nevű böngészőkiegészítőjének (a tavalyi  előadás videofelvételét itt nézheti meg) Chrome-ra írt változatát. A kiegészítő azt demonstrája, hogyan lehet átvenni a hatalmat a böngésző, a fájlrendszer stb. felett, és a böngészőn keresztül adatokat kiszivárogtatni. Érdekes, hogy a legtöbb biztonsági cég nem tudott vagy nem akart megfelelő védelmet kialakítani a bővítménnyel szemben, pedig a kiegészítőkkel való visszaélések nem új keletűek, így azok nagyobb figyelmet érdemelnének.

Veres-Szentkirályi András, a Silent Signal biztonsági szakértője pedig azt mutatta be, hogy olyan protokollokat is lehet hatékonyan támadni, amelyekről nem állnak rendelkezésre technikai információk. Makay Kálmán (D&M Consulting) pedig élőben vezényelt le egy teljes adathalász-projektet.


A védekezők is szót kaptak ■ A konferencián nem csak a hackerek villoghattak. Vida Zsolt, a T-Systems rendszermérnöke, azt mutatta be, hogy egy banki trójai által okozott fertőzést miként lehet azonosítani, feltérképezni, majd idősoros módon ábrázolni a bekövetkező eseményeket. Ennek azért van jelentősége, mert egy esetleges banki károkozás során forensic vizsgálatokkal lehet elemezni a támadásokat, illetve igazolni azt, hogy mi is történt valójában.

A 2013-as Ethical Hacking konferencia is igazolta azt, hogy egy-egy biztonsági eszközzel nem lehet csodát tenni. A biztonságot komplex módon célszerű megközelíteni, miközben folyamatosan résen kell lenni. Ebből a szempontból mind a biztonsági cégekre, mind az üzleti és egyéni felhasználókra sok teendő vár még, hiszen a hackerek eszköztára kifogyhatatlan.