Ferenc, Olívia
-2 °C
4 °C

Drága sör és rendszertörés

2004.08.16. 18:08
A nyolcadik kerület szívében megrendezett Hacktivity 2.0 hackertalálkozón szakértők segítségével törtünk fel weboldalakat, jelszóval védett tömörített fájlokat, és mindenféle titkosított adatot megfejtettünk.
"10-féle ember van: aki érti a bináris számrendszert, és aki nem."

Az informatikai szakzsargon szerint azok az emberek nevezhetők hackernek, akik mindenki másnál jobban értenek a számítógépes rendszerek működéséhez, és különös vonzalmat éreznek a biztonsági hibák iránt, amelyekkel például weboldalak és vállalati hálózatok is feltörhetőek. Korábban úgy képzeltem, hogy e hardcore szakértők mind csapzott hajú, szakállas és pocakos férfiak, akik linuxos pólót viselnek, nagyon sok olcsó dobozos sört isznak, és kizárólag olyan rövidítésekkel (utp, cvs, gpl, stb.) kommunikálnak, amit az átlag halandók képtelenek dekódolni. Tévedtem.

A hétvégén megrendezett hackertalálkozón például teljesen átlagos kinézetű fiatalok jelentek meg, akik laptopjaik előtt görnyedve hackeltek, sniffeltek és pingeltek. Linuxos pólókból persze nem volt hiány, de a büfében szerzett információim szerint a dobozos sör egyáltalán nem volt népszerű, csak a szénsavas üdítőt és a drága üveges sört vitték.

Törés

Bár a Gutenberg Művelődési Központ homályos előadótermében számos előadást meghallgathattam volna az aktuális biztonsági kérdésekről, inkább elvegyültem az előtérben nyüzsgő résztvevők között, akik a meghirdetett verseny keretében próbáltak feltörni jelszóval védett oldalakat, wifi rádiós hálózaton elérhető szervereket, meg a Matáv által odaszállított Nyilvános Internet Terminált, amelyből országszerte harminc üzemel, és mint kiderült feltörhető.

Elvegyülésem olyannyira sikeres volt, hogy hamarosan én is megszállottan kerestem a jelszavakra utaló nyomokat a szervezők által létrehozott weboldalak forráskódjában, két fiatal srác társaságában; Róbert és Gergő adta a szakértelmet, én meg a hardvert.

Számtan és logika

Az első feladatok olyan egyszerűek voltak, hogy valószínűleg nem létezik olyan weboldal, amelyen ezeket a védelmi megoldásokat alkalmazzák, hacsak nem az a cél, hogy bárki bejuthasson. Hiszen nem kell különösen nagy szakértelem ahhoz, hogy egy weboldal néhány soros forráskódjában megtaláljunk egy kódolatlan jelszót, némi logikával kikövetkeztethető, hogy melyik a jó megoldás. Még a tizenhatos számrendszerben kódolt betűk megfejtése sem túl bonyolult, hiszen a számokhoz tartozó ASCII betűkódok a Google segítségével néhány másodperc alatt előkeríthetők. (Esetünkben "semmi" [73 65 6d 6d 69] volt a megoldás.)

Persze volt olyan feladat, amihez vagy nem volt elegendő szaktudásunk, vagy csak nem vettünk észre valami fontos részletet, de gyorsan átsiklottunk e problémákon, hiszen ilyenkor az úgynevezett social hacking módszert vetettük be, ami igen egyszerű és hatékony: csupán meg kell kérdezni a választ azoktól, akik tudják. Egyébként ez a rosszindulatú hackerek egyik kedvenc eszköze: felhívják a fecsegős titkárnőket, összegyűjtik a kidobott céges iratokat, hátha hozzájutnak egy-két érdekes adathoz.

Nyers erő

A kódfejtéshez persze erős hardver is kell, ugyanis a jelszóval védett tömörített fájlokat, valamint a bonyolult algoritmusokkal generált kódokat csak nyers erővel lehet visszafejteni, ami a jelszó hosszától és bonyolultságától, illetve a processzor gyorsaságától függően akár napokig is tarthat. A nyers erő persze másképp is értelmezhető, de még nem hallottam olyanról, hogy valakiből vasrudakkal vertek volna ki egy PIN-kódot.

A tizenhárom kiírt feladatot végül csak néhányan oldották meg, mi csak a kilencedikig jutottunk el, de végül is mindegy, a győzteseknek úgyis "csak" dicsfény és elismerés jár. Persze ez igen sokat jelent, hiszen ki ne hallott volna Kevin Mitnickről vagy Adrian Lamóról.