Betörtem saját magamhoz

Magyarország, és talán a Közép-Európa legnagyobb hekkereknek szóló összejövetele, a Hacktivity olyan rendezvénnyé fejlődött, ahol összejönnek a kiberbiztonsági szakma gyakorlati és elméleti művelői, valamint a biztonságot nyújtó és kereső cégek. Az etikus hekkelés elfogadottságát jól mutatja, hogy idén a Vodafone a konferencián kifüggesztett álláshirdetésében konkrétan ilyen pozícióra keresett munkatársat.

Bárkiből lehet kiberkém

A konferencia első előadását megtartó amerikai Jeff Bardin, a világ egyik legismertebb kiberbiztonsági-szakértõje még nem technikai részletekről beszélt, hanem arról, hogy hogyan legyünk kiberkémek. Hogyan gyűjtsünk minél több információt, amikkel már közel kerülhetünk áldozatainkhoz. Bardin egy arabról derítette ki a lehető legtöbb dolgot, majd került szorosabb barátságba vele, ráadásul mindezt bárki számára elérhető eszközökkel, például célzott Google keresésekkel, vagy úgy, hogy egyszerűen elkezdte követni a Twitteren. A módszer sok mindenre jó lehet, egyik ismerőse például így jött rá, hogy a felesége megcsalja.

A második keynote előadó, David Prepper aki az Egyesült Királyság Kormányzati Kommunikációs Központjának (GCHQ) igazgatója volt, mely a rádiós hírszerzésért és az elektronikus információs biztonságért felelős ügynökség. Ő szintén elméleti síkon tartotta a hekkelés témáját, a motivációkról, védekezésről, összefogásról beszélt, ezzel inkább a múlt heti öltönyös kiberkonferencia programjába illeszkedett, beszéde alatt többen el is hagyták a korábban színültig megtöltött MOM Kulturális Központ színháztermét.

Egy fémdarabbal nyitható a bilincs

Nem sokat kell mennem az előadások után, hogy az elmélet után valódi hekkelést találjak. Az egyik kisebb terembe belépve hirtelen nem tudtam eldönteni, hogy kijöttem a Hacktivity területéről, és egy pornócastingba csöppentem, vagy mi történt: csak annyit láttam, hogy egy székhez láncolt srác a lába között matat.

Közelebb lépve kiderült, hogy egy lakatot piszkál két fémdarabbal. Saját elmondása szerint már jó ideje próbál megszabadulni láncaitól, és ugyan a szervező srácok megmutatták neki, hogyan kell, egyszerűen „nem akar megtörténni". Amit csinál, nem valamiféle szexuális aberráció: ez a lock picking, azaz a zárak, lakatok roncsolásmentes kinyitása. Mára külön szubkultúrát alkotnak, rendszeresek a nemzetközi versenyek, itthon is kialakult egy keménymag, ők írják a témával foglalkozó lockpick blogot.

A leláncolt srác mellett lévő asztalon zár, lakatok, biciklilezárók - kulcsok viszont sehol. Csupán kétfajta jellegzetes fémdarab: egy speciális szerszám, amit a zárakba kell dugni, és egy teljesen egyszerű fémdarabka, melynek hajlított a vége: ez csak arra kell, hogy forgatónyomatékot adjon, azaz imitálja, mintha a kulcsot tennénk a zárba, és elfordítanánk.

Az asztal mögött álló srácok szerint a gyártók, kereskedők nem mindig örülnek a tevékenységüknek. Pedig nem akarnak ők rosszat: vezetnek egy listát a könnyen nyitható záraktól, ezt ahhoz lehet hasonlítani, mint amikor a fehérkalapos hekkerek nyilvánosságra hozzák a sérülékenységeket, miután az érintett nem hajlandó javítani.

A mechanikus széfek is pillanatok alatt nyithatók, van olyan, amit elég alulról térddel megrúgni, és már fordítható is a zár, de a számzáras megoldások is pillanatok alatt elbuknak - igaz, a lelkes kezdők a bemutató után hosszú percekig hiába próbálkoznak. A bankok ezért le is cserélték ezeket a megoldásokat digitálisra, mivel az alkalmazottak is lusták voltak a tekergetéshez, ezért inkább nyitva hagyták az a széfeket. Nem kell sok idő az egyik bámészkodó lánnyal összebilincselt srácnak sem, hogy kiszabaduljon, a régebben a magyar rendőrségnél is használt bilincsfajta könnyen megadja magát, elég egy fémdarabbal elhúzni egy pöcköt.

Erényöv többé nem állja utamat

Az ördöglakatokkal mindig úgy voltam, mint a futással: lehet csinálni, jó is, mégsincs semmi értelme. Egész más érzéseket ébresztett bennem egy valódi lakat, természetesen én sem hagyhattam ki az önfeledt a zárnyitogatást.

Az első lakat kinyitása körülbelül olyan euforikus élményt okozott, mintha legalább egy erényövhöz tartozott volna. Pedig minden ilyesmihez béna vagyok, a kezem remeg, a finom mozgások sem a barátaim. Igaz, könnyű pályán kezdtem: pár perc próbálkozás után sorra dőltek el a gagyi minőségű, nem szabványos kínai lakatok - ez viszont nem sokat von le teljesítményem értékéből, hiszen rengeteg háztartásban vannak ilyenek, az egyik például saját pincénken is. Itt rájövök, hogy pick lockból is megárt a sok, és inkább tovább állok.

Veszélyes élet, érintés nélkül

Nagy volt az érdeklődés az érintés nélküli fizetést lehetővé tévő bankkártyák biztonsági réseiről szóló előadáson, nem véletlenül. Bucsay Balázs konkrétan a Mastercard által jegyzett technológiáról, a Paypassról beszélt. Nem túl meglepő, mégis kicsit furcsa módon a cég egy héttel korábban megkereste, hogy mégis mit fog mondani. Túl nagy veszéllyel azonban nem fenyeget az előadása: az általa kidolgozott támadást már mások is megcsinálták, a hiba nyilvános, a különbség annyi, hogy ő otthoni, nyílt forrású eszközökkel, például egy nagyon olcsó minipécével, a Raspberry Pivel tudta meghekkelni a kártyát.

A hosszas elméleti bevezető után Bucsay az amerikai hekkerkonferenciák stílusát idézően élőben mutatja be, hogyan lehet kiolvasni a Paypasst használó kártyából az adatokat. Szerencsére nemcsak ő volt ilyen gyakorlatias, egy másik előadásban az érdeklődők megnézhették, hogyan játszható ki nagyon könnyedén a Windows 7 beépített vírusirtója, a Microsoft Security Essentials, de elesett a Nod32 is.

Nemcsak a szoftverek hullanak: a Pálinkafesztiválon promóciós célból osztogatott Paypass kártya pár perc alatt elesik: kinyerhető belőle például a lejárati dátum és a kártyaszám is, amivel már több webshopban lehet fizetni. A színpadra szólított két bátor jelentkező kártyája közül az egyik állja a sarat, a másik viszont egyértelműen bizonyítja, hogy nem előre megrendezett jelenetek tanúi vagyunk. A támadás önmagában nem túl hasznos a gyakorlatban, mivel a kártyának nagyon közel, pár centiméternyire kell lennie a leolvasótól, viszont lehetséges olyan erős antennákat építeni, amikkel a távolság akár másfél méterre is növelhető. A két dolgot kombinálva a támadók úgy foszthatják ki a zsebünket, hogy még a közvetlen közelünkbe sem kell jönniük.

Hígul a szakma

Az emeleten parancssort futtató laptopokat látni, az előttük ülő fiatalok versenyeznek: megpróbálják feltörni a konferencia egyik szerverét. Ezt leszámítva 2012-ben gyakorlatilag már  semmilyen sztereotípiát nem igazol a Hacktivity: a szünetekben csupa nyitott, szívesen beszélgető, ápolt fiatalt és idősebbet látok. Az érdeklődés akkora, hogy van olyan előadás, amelyre szó szerint nem férek be.

A konferencia szombaton további előadásokkal és workshopokkal folytatódik. Aki még abban a hitben él, hogy van feltörhetetlen szoftver és biztonságos zár, jobb, ha a közelébe sem megy a rendezvénynek.