'A hackerkedés nem bűn'

Nyolc éve sokan cipelték el gépeiket; négy éve a laptoposok sokasága tűnt fel; az idén gyerekkel megjelenők számából (póló is volt már az ő méretükre) lehet következtetni, arra, hogy felnőtt egy generáció. A következő hollandiai hackerkonferencián, 2009-ben talán a lakókocsik szaporodnak meg.

A főszervező Rop elmondja: sokan leírják már a hackermentalitást, mégis sikerült újra életet lehelni egy sátortáborba. Élmény volt látni, hogyan oldódtak meg a problémák, hogyan került a helyszínre generátor az önkénteseknek köszönhetően, hogyan lett áram és netkábel az alappontokon, ahonnan aztán mindenki a saját módszereivel vezette sátráig a voltokat és a biteket. Rop visszaemlékszik az első - 1989-es és 1993-as- találkozókra, és azt mondja: még 1997-ben se gondolta volna, hogy 2005-re négyszekciós, száznál is több előadásból álló rendezvénnyé növi ki magát a hackerkonferencia.

Rossz az, aki rosszra gondol

"A hackerkedés nem bűn" - áll az előadók regisztrációs épülete mögé bújtatott rendőrségi konténerek felett, hogy így is jelezzék a résztvevők: itt nem bűnözésről van szó.

A rendőrök, akik figyelni, védeni és tanulni jöttek, amúgy jó fejek, bár azt nem tudom, hogyan viselkednének, ha a résztvevők közül le kellene tartóztatniuk valakit - mondjuk a rendőrség honlapjának feltöréséért.

Itt ugyanis olyan eszközökről és technikákról szólnak az előadások, amelyeket rossz emberek rosszra is használhatnak. Épp azért kell felhívni a figyelmet a gondokra - a szándékosan beépített hátsó kapukra, vagy éppen a monopolhelyzetre törekvő cégek, kormányok módszereire, hogy idejében fel lehessen lépni ellenük. A Bluetooth biztonsági problémáiról például jobb előre tudni, mintsem áldozattá válni, bár a legjobb, ha tartjuk magunkat az alaptörvényhez: csak azt kapcsoljuk be, amit használni akarunk.

A nagysátrakban zajló előadások szövegét önkéntesek rögzítik, majd digitalizálják őket az utókornak. A hallgatóság egy része a fellépés után is bombázza kérdéseivel az előadót, de tippeket is adnak neki, hogy mi mindennek érdemes még utánanéznie, kivel tudna együttműködni, és nem szokatlan a névjegykártyacsere sem.

Csak emelkedetten

Felemelő hangulatban él a tábor: az egyik srác utána szól a másiknak, hogy nyitva maradt a táskáján a cipzár, nehogy kiessen egy értékes eszköz. Az ismeretlenek rögtön szóba elegyednek, míg a zuhanyra várnak, de folyik az ismerkedés kajálás közben, bumpkey-törési, azaz zárerősségteszt-tanfolyamon, és természetesen minden olyan alkalommal, amikor az alulreprezentált hölgyekkel lehet ismerkedni. Mindeközben a hálózaton is folyik a kommunikáció, és a DECT-képes telefonokkal a tábor területén ingyenes a hívás. A rendezvény honlapján mindenkinek ott a telefonszáma, aki regisztrálta magát, vagy a helyszínen vett magának készüléket 30 euróért.

Az egyik pillanatban megjelenik a honlapon: vigyázat, Man in the middle (közbülső ember) támadás történt, vagyis az egyik résztvevő be tudott ékelődni a szerver és a felhasználók közé. Így hiába a kódolt kommunikáció, ha valaki nem ellenőrzi a szervertől kapott kulcsot, akkor minden infó átmegy a támadón, amit be mert pötyögni az ember egy ilyen helyen. A figyelmesebbek (paranoidabbak) észlelik a problémát, elindul a nyomozás, megvan a switchport, kábel lekövetve, srác lefotózva…őt kell fenékbe rúgnotok!

Egészséges paranoia

A show fennakadás nélkül megy tovább, azt pedig mindenki megjegyezte, milyen fontos eleme a biztonságos kommunikációnak a másik fél megfelelő azonosítása. Remélhetőleg akkor is emlékszik majd, amikor otthon a home banking szolgáltatást használná hasonló módon.

Ha elrepül egy AWACS gép a tábor felett, és nincs kéznél a fényképező, felesleges előkaparni: pár percen belül úgyis ott a honlapon a kép. A digitalizált előadások már néhány órával elhangzásuk után letölthetők. Erre az egészre mondhatjuk, hogy "felemelő hangulat".

Az előadások között több olyan is van, amelyet országonként másként ítélnének meg a hatóságok: ilyen például az amerikai előadó mágneskártya-rendszerek megismerését és az alkalmazott kódolások gyengeségeit taglaló bemutatója. Kár lenne nem engedni előadni, inkább meg kell hallgatni, és megtanulni belőle, hogy nem szabad saját, más által nem tesztelt és ellenőrzött – security by obscurity – megoldást alkalmazni, mert idővel úgyis visszafejtik az algoritmust, és megvan a rendszer töréséhez szükséges információ.

Ahogy az ismeretlen rendszergazda mondása szól: "Tudom, hogy paranoiás vagyok, de vajon eléggé?"