Betörtem saját magamhoz
Kövesse az Indexet Facebookon is!
Követem!További Tech cikkek
-
Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből - Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
Mára nemcsak a vérbeli hekkereknek ajánlott a 2003 óta megrendezett Hacktivity, hanem azoknak is, akiket kicsit érdekel a kiberbiztonság: a konferencia programjai egész széles skálán mozognak, a laikus is találhat magának érdekes programot a lakatok kulcs nélküli nyitogatásától a látványos hekkelésekig. Idén élesben, sorra buktak el a vírusirtók és a bankkártyák.
Magyarország, és talán a Közép-Európa legnagyobb hekkereknek szóló összejövetele, a Hacktivity olyan rendezvénnyé fejlődött, ahol összejönnek a kiberbiztonsági szakma gyakorlati és elméleti művelői, valamint a biztonságot nyújtó és kereső cégek. Az etikus hekkelés elfogadottságát jól mutatja, hogy idén a Vodafone a konferencián kifüggesztett álláshirdetésében konkrétan ilyen pozícióra keresett munkatársat.
Bárkiből lehet kiberkém
A konferencia első előadását megtartó amerikai Jeff Bardin, a világ egyik legismertebb kiberbiztonsági-szakértõje még nem technikai részletekről beszélt, hanem arról, hogy hogyan legyünk kiberkémek. Hogyan gyűjtsünk minél több információt, amikkel már közel kerülhetünk áldozatainkhoz. Bardin egy arabról derítette ki a lehető legtöbb dolgot, majd került szorosabb barátságba vele, ráadásul mindezt bárki számára elérhető eszközökkel, például célzott Google keresésekkel, vagy úgy, hogy egyszerűen elkezdte követni a Twitteren. A módszer sok mindenre jó lehet, egyik ismerőse például így jött rá, hogy a felesége megcsalja.
A második keynote előadó, David Prepper aki az Egyesült Királyság Kormányzati Kommunikációs Központjának (GCHQ) igazgatója volt, mely a rádiós hírszerzésért és az elektronikus információs biztonságért felelős ügynökség. Ő szintén elméleti síkon tartotta a hekkelés témáját, a motivációkról, védekezésről, összefogásról beszélt, ezzel inkább a múlt heti öltönyös kiberkonferencia programjába illeszkedett, beszéde alatt többen el is hagyták a korábban színültig megtöltött MOM Kulturális Központ színháztermét.
Egy fémdarabbal nyitható a bilincs
Nem sokat kell mennem az előadások után, hogy az elmélet után valódi hekkelést találjak. Az egyik kisebb terembe belépve hirtelen nem tudtam eldönteni, hogy kijöttem a Hacktivity területéről, és egy pornócastingba csöppentem, vagy mi történt: csak annyit láttam, hogy egy székhez láncolt srác a lába között matat.
Közelebb lépve kiderült, hogy egy lakatot piszkál két fémdarabbal. Saját elmondása szerint már jó ideje próbál megszabadulni láncaitól, és ugyan a szervező srácok megmutatták neki, hogyan kell, egyszerűen „nem akar megtörténni". Amit csinál, nem valamiféle szexuális aberráció: ez a lock picking, azaz a zárak, lakatok roncsolásmentes kinyitása. Mára külön szubkultúrát alkotnak, rendszeresek a nemzetközi versenyek, itthon is kialakult egy keménymag, ők írják a témával foglalkozó lockpick blogot.
A leláncolt srác mellett lévő asztalon zár, lakatok, biciklilezárók - kulcsok viszont sehol. Csupán kétfajta jellegzetes fémdarab: egy speciális szerszám, amit a zárakba kell dugni, és egy teljesen egyszerű fémdarabka, melynek hajlított a vége: ez csak arra kell, hogy forgatónyomatékot adjon, azaz imitálja, mintha a kulcsot tennénk a zárba, és elfordítanánk.
Az asztal mögött álló srácok szerint a gyártók, kereskedők nem mindig örülnek a tevékenységüknek. Pedig nem akarnak ők rosszat: vezetnek egy listát a könnyen nyitható záraktól, ezt ahhoz lehet hasonlítani, mint amikor a fehérkalapos hekkerek nyilvánosságra hozzák a sérülékenységeket, miután az érintett nem hajlandó javítani.
A mechanikus széfek is pillanatok alatt nyithatók, van olyan, amit elég alulról térddel megrúgni, és már fordítható is a zár, de a számzáras megoldások is pillanatok alatt elbuknak - igaz, a lelkes kezdők a bemutató után hosszú percekig hiába próbálkoznak. A bankok ezért le is cserélték ezeket a megoldásokat digitálisra, mivel az alkalmazottak is lusták voltak a tekergetéshez, ezért inkább nyitva hagyták az a széfeket. Nem kell sok idő az egyik bámészkodó lánnyal összebilincselt srácnak sem, hogy kiszabaduljon, a régebben a magyar rendőrségnél is használt bilincsfajta könnyen megadja magát, elég egy fémdarabbal elhúzni egy pöcköt.
Erényöv többé nem állja utamat
Az ördöglakatokkal mindig úgy voltam, mint a futással: lehet csinálni, jó is, mégsincs semmi értelme. Egész más érzéseket ébresztett bennem egy valódi lakat, természetesen én sem hagyhattam ki az önfeledt a zárnyitogatást.
Az első lakat kinyitása körülbelül olyan euforikus élményt okozott, mintha legalább egy erényövhöz tartozott volna. Pedig minden ilyesmihez béna vagyok, a kezem remeg, a finom mozgások sem a barátaim. Igaz, könnyű pályán kezdtem: pár perc próbálkozás után sorra dőltek el a gagyi minőségű, nem szabványos kínai lakatok - ez viszont nem sokat von le teljesítményem értékéből, hiszen rengeteg háztartásban vannak ilyenek, az egyik például saját pincénken is. Itt rájövök, hogy pick lockból is megárt a sok, és inkább tovább állok.
Veszélyes élet, érintés nélkül
Nagy volt az érdeklődés az érintés nélküli fizetést lehetővé tévő bankkártyák biztonsági réseiről szóló előadáson, nem véletlenül. Bucsay Balázs konkrétan a Mastercard által jegyzett technológiáról, a Paypassról beszélt. Nem túl meglepő, mégis kicsit furcsa módon a cég egy héttel korábban megkereste, hogy mégis mit fog mondani. Túl nagy veszéllyel azonban nem fenyeget az előadása: az általa kidolgozott támadást már mások is megcsinálták, a hiba nyilvános, a különbség annyi, hogy ő otthoni, nyílt forrású eszközökkel, például egy nagyon olcsó minipécével, a Raspberry Pivel tudta meghekkelni a kártyát.
A hosszas elméleti bevezető után Bucsay az amerikai hekkerkonferenciák stílusát idézően élőben mutatja be, hogyan lehet kiolvasni a Paypasst használó kártyából az adatokat. Szerencsére nemcsak ő volt ilyen gyakorlatias, egy másik előadásban az érdeklődők megnézhették, hogyan játszható ki nagyon könnyedén a Windows 7 beépített vírusirtója, a Microsoft Security Essentials, de elesett a Nod32 is.
Nemcsak a szoftverek hullanak: a Pálinkafesztiválon promóciós célból osztogatott Paypass kártya pár perc alatt elesik: kinyerhető belőle például a lejárati dátum és a kártyaszám is, amivel már több webshopban lehet fizetni. A színpadra szólított két bátor jelentkező kártyája közül az egyik állja a sarat, a másik viszont egyértelműen bizonyítja, hogy nem előre megrendezett jelenetek tanúi vagyunk. A támadás önmagában nem túl hasznos a gyakorlatban, mivel a kártyának nagyon közel, pár centiméternyire kell lennie a leolvasótól, viszont lehetséges olyan erős antennákat építeni, amikkel a távolság akár másfél méterre is növelhető. A két dolgot kombinálva a támadók úgy foszthatják ki a zsebünket, hogy még a közvetlen közelünkbe sem kell jönniük.
Hígul a szakma
Az emeleten parancssort futtató laptopokat látni, az előttük ülő fiatalok versenyeznek: megpróbálják feltörni a konferencia egyik szerverét. Ezt leszámítva 2012-ben gyakorlatilag már semmilyen sztereotípiát nem igazol a Hacktivity: a szünetekben csupa nyitott, szívesen beszélgető, ápolt fiatalt és idősebbet látok. Az érdeklődés akkora, hogy van olyan előadás, amelyre szó szerint nem férek be.
A konferencia szombaton további előadásokkal és workshopokkal folytatódik. Aki még abban a hitben él, hogy van feltörhetetlen szoftver és biztonságos zár, jobb, ha a közelébe sem megy a rendezvénynek.
Kövesse az Indexet Facebookon is!
Követem!
