Az etikus hacker átmegy a falon
További Biztonság cikkek
A hackerek viselt dolgairól elég sűrűn beszámol a média. Olvassuk, hogy már megint feltörték, megtámadták, megfertőzték, ellopták, felszántották, és a helyét bevetették sóval, de valahogy mégis olyan misztikus feketemágiának tűnik a dolog. A helyzeten nem segítenek sokat a filmek sem, amik alapján a hekkelést valahogy így kellene elképzelnünk:
Az etikus hackerek magyarországi konferenciáján azonban hiába is kerestük volna Halle Berryt vagy a jelenetben központi szerepet kapó Laura Lane-t. Ehelyett a gyakorlatban láthattuk, hogy nem ússza meg a feltörést se operációs rendszer, se wifi-hálózat, se jelszóadatbázis, még ha a valóságban a hekkelés kicsit macerésabb és kevésbé látványos is, mint ahogy Hugh Jackman csinálta.
Ford T-modell, krómfelnikkel
A 20-25 ezer forintos beugróhoz képest meglepően sokan, legalább 200-250-en gyűltek össze az Arena Plaza mozijában etikushekkerkedést nézni. Aránylag kevés volt köztük a sápadt, szemüveges Bill Gates-klón, és a hosszúhajú-szakállas, a notebookjához hozzánőtt negyvenes hippi, ahogy az ember általában elképzel egy hackert; az előadók és a nézők nagy része ránézésre lehetett volna tűzoltó, katona, vagy vadakat terelő juhász is.
Az ivararány viszont úgy volt kb. 50:1 a férfiak javára, hogy abba már beleszámoltam a hostesslányokat is - na, itt speciel bejött a sztereotípia, de egyébként csak onnan lehetett felismerni a Kárpát-medence valószínűleg legmagasabb geek-népsűrűségét, hogy a fél füllel elkapott beszélgetésfoszlányokban több szó esett Registry Hive-okről meg adatbázis-mérgezésről, mint az előző esti BL-meccsről.
A web ma olyan, mint egy veterán Ford T modell, amire felpakolták az elmúlt nyolcvan évben kitalált összes optikai tuningot, de a kasztni meg a motor a régi - tudjuk meg a bevezetőből, én meg kezdek örülni, hogy reménytelenül középkori módon jegyzetfüzetet hoztam, nem notebookot - ki tudja mi történne vele itt 300 hacker között.
OR 1=1
Bemelegítésként egy kis cross-site scriptinget kapunk, morog is az a pár Bill Gates-klón, hogy 2010-ben SQL injection, hát ez olyan, mintha egy matematikus konferencián Pitagorasz tételét magyaráznák el. Az mindenesetre kiderül az első előadásból, hogy a webes hekkelés lényege, hogy ha egy oldal valamilyen adatot kér tőlünk, akkor olyasmit írjunk be, amit az adatbáziskezelője nem adatként, hanem utasításként kezel. Vagy valami hülyeséget, mert akkor hibaüzenetet kapunk, amiből egy profi sok mindent ki tud olvasni a rendszerről.
A legősibb módszer például jelszófeltörésre, ha beírjuk, hogy 12345 OR 1=1. A rendszer alapban úgy működik, hogy összehasonlítja a begépelt karaktersorozatot az adatbázisban a felhasználónév mellől kinézett jelszóval - csakhogy az OR-t itt a parancs részeként értelmezi: akkor engedd be a júzert, ha a jelszava 12345 vagy akkor, ha egy egyenlő eggyel. És bumm, benn is vagyunk.
Persze ez a létező legprimitívebb trükk, és minden rendszer védve van ellene, de az elv hasonló a sokkal kifinomultabb támadásoknál is. Kettőt sem pislogok, és a vásznon máris egy jpg formátumú képbe rejt php scriptet mutat az előadó, aztán az egyik júzer megszerzett hozzáférésével pár másodperc alatt kihekkeli az adatbázisból az adminisztrátori jelszót is.
Kéne pár fegyver
Gyorsulnak az események, egy tűzfal mögötti ftp-szerver elleni támadás jön, amin keresztül azt ismerhetjük meg, hogyan keresnek sebezhetőségeket a feltörendő rendszeren a hackerek. Eleinte tök egyszerűnek tűnik a dolog, letöltünk egy portszkennelő alkalmazást, az megmond egy csomó adatot, aztán elkezdjük szabálytalan adatbevitelekkel kínozni a rendszert (pontosabban nem a célpont rendszert, mert az feltűnő lenne, ehelyett a hacker telepít magának egy ugyanolyan szerverszoftvert, és azon kísérletezik). Ezt a technikát fuzzingnak hívják, és a visszakapott hibajelenségek alapján keres sérülékenységet a védelmen.
Ez a gyakorlatban úgy néz ki, hogy a támadó lefuttat egy scriptet, hosszasan nézegeti a laikus számára teljesen értelmetlen hibakódokat, majd azt mondja, aha, ebből a kódból már könnyen ki lehet találni, hogy... és itt általában egy nagyon hosszú körmondat jön, amiben csak a névelők vannak magyarul, egyébként 90 százalékban hárombetűs rövidítésekből áll. Ennek alapján átír valamit a kódban, és kezdődik elölről az egész, míg végül kibukik egy biztonsági rés, amin keresztül be lehet juttatni a rendszerbe valamilyen futtatható kódot.
És ilyenkor jön az, amikor a Mátrixban Neo azt mondja: kéne pár fegyver. A hackerek fegyverraktárát úgy hívják, Metasploit, és - szigorúan rendszertesztelési célokra persze - annyi rondaság van itt szépen katalogizálva és élesre töltve, hogy azt gyanítom, 2003-ban kevesebbért rohanta le Irakot az USA. A továbbiakban a műsor már ismerős, a hacker kiválaszt valami trükkös scriptet, az imént talált sebezhetőségen át beküldi a rendszerbe, és máris jogot kap arra, hogy ott további kódokat futtasson - innentől pedig isten irgalmazzon szerencsétlen szervernek.
It's never Lupus
A dolgok innentől teljesen elvadulnak, az előadók titkosított wifi-adatfolyamokba másznak bele, a Microsoft ASP.net keretrendszerét verik apró darabokra, 30-40 bájtba préselnek bele szuperbiztonságos rendszereket porba döngölő, rosszindulatú kódokat, és biztonsági javítások kódjait és azok dokumentációit hasonlítgatják össze és elemzik, hogy dokumentálatlan, titkos változtatásokat találjanak. Ezek olyanok, mint egy betegség tünetei, és ha elég ilyet talál, Dr. Hacker House simán kikombinálja, mi bujkál a rendszerben, és azt hogyan lehet kihasználni.
Végül eljutunk a konferencia sztárjához, a hackerhez, aki átmegy a falon - ami esetünkben azt jelenti, hogy tetszőleges operációs rendszeren, tetszőleges vírusvédelem mellett, egy másodperc alatt, egy gombnyomással belép a rendszerbe bármelyik felhasználó nevében, jelszó nélkül.
CSI: Budapest
A Cached Data Attack nevű módszer egy eddig csak elméleti lehetőségként kezelt biztonsági probléma kihasználásának konkrét megvalósítása, és jelenleg semmilyen biztonsági szoftver nem véd ellene. A Deloitte Forensic Investigator (ez nagyjából a CSI helyszínelőcsapatainak számítógépes verzióját jelenti) szakembere, Barta Csaba egy rootkitet, vagyis az operációs rendszer legmélyebb rétegeibe beépülő vírust mutatott be, ami nem vesződik a jelszavak kitalálásával, vagy dekódolásával.
Ehelyett megkeresi a memóriában azt a területet, ahol tárolja őket az operációs rendszer, és az ellenőrzés idejére kitörli őket. Így aztán jelszó nélkül léphetünk be tetszőleges felhasználó nevében - az ötlet egyszerű mint a százas szög, tippem szerint a megvalósítás azért kicsit bonyolultabb lehetett.
A többi előadóval ellentétben, akik az idejük nagy részét a támadás bemutatásával töltötték, a módszereik elleni védekezésre pedig csak odavetett félmondatokat szántak, Barta Csaba pár percet tölt csak a rootkit demózásával (egy Windows Server 2008-on járkál ki-be egyébként jelszó nélkül, mint valami szellem), és rögtön rátér, ha nem is a védekezésre, de a támadás nyomainak azonosítására. A teljes mozivásznat betöltő kódrengetegeken láthatjuk, milyen nyomokat hagyott a memóriában a támadó, vagy éppen azt, ha a júzer ránézett egy oldalra a neten, vagy rádugott egy pendrive-ot az usb-portra. A totális Helyszínelők-hangulathoz már tényleg csak Horatio napszemüveges pózerkedése meg a főcímzene hiányzik.
Védhetetlen, láthatatlan, felderíthetetlen
Ja, és hogy mi lesz a kivédhetetlen csodafegyverrel? Úgy néz ki, az egyelőre felderíthetetlen rootkitet a legjobban képzett és legmegbízhatóbb, CEH minősítésű fehérkalapos hackerek fogják megkapni, hogy használhassák a munkájuk során, és kitalálják, hogyan lehet hatékonyan védekezni ellene. Igen, így szoktak kezdődni a B-kategóriás katasztrófafilmek is, tessék, itt a halálos vírus, kísérletezgess csak vele, de vigyázz, ellenszerünk az nincs.
A fene tudja, én valahogy nyugodtabb lennék, ha ez az egész tényleg inkább úgy működne, mint a filmekben. És nem csak Halle Berry miatt.