A jubiláló Hacktivityn a két sztárelőadó, Charlie Miller, a Twitter biztonsági mérnöke, és Mikko Hypponen is gondoskodott arról, hogy megmaradjon a rendezvényt mindig is jellemző közvetlen hangulat.

A MOM Kulturális Központban megrendezett konferencia az IT-biztonság szinte összes területével foglalkozott, ha különböző mélységgel is. Volt előadás kártékony kódok elleni küzdelemről, hálózat-, adatbázis- és mobilbiztonságról, adatszivárgásokra, a különböző védelmek védelmének megkerülhetőségéről, biztonsági rések kihasználásának módjairól, computer forensicsről, sőt még a jogi szabályozásról is. De terítékre kerültek az arcfelismerő rendszerek gyengeségei, a CCTV-k (pontosabban DVR-ek) hackelési lehtőségei és a mostanság sokat emlegetett bitcoinos visszaélések. Főleg a „kiscsoportos” hello workshopokon lehetett belemélyedni egy-egy témába.

A mobilbiztonságtól az autók hackeléséig

A már említett Charlie Miller több fellépést is vállalt a konferencián. Keynote előadásában arra a kérdésre kereste a választ, hogy a hordozható készülékek által jelentett kockázatok egyre gyakoribb emlegetése csupán hype, vagy tényleg valós veszélyekről szól. Szerinte az Apple platformja nehéz dió a vírusíróknak és támadóknak. Azaz némiképpen eredményesek az Apple-nek az alkalmazások közzétételére vonatkozó, meglehetősen szigorú szabályai, az izolációt megvalósító sandbox technológija, a digitális aláírások alkalmazása. Ehhez képest az Android valamivel könnyebb terep. Ám mindezeknél sokkal egyszerűbb és gyorsabb pénzkereseti lehetőségeket biztosítanak a csalóknak a Windows, amelyek esetében a kódok újrafelhasználása és a vírusterjesztés is szabadabban végezhető. Mindazonáltal Miller szerint – bár a támadási felületek a mobilok esetében is hasonlóak, mint például a Windows-os PC-ken – a kiberbűnözők a jövőben is nehezebben boldogulnak majd a mobil platformokon. A legnagyobb veszélyt itt amúgy is maguk a felhasználók jelentik, akik elvesztik a készüléküket, vagy éppen saját maguk csökkentik az operációs rendszerek védelmét például jailbreakeléssel, illetve rootolással.

Charlie Miller a másik előadásában azokról a járműbiztonsági kutatásokról beszélt, amelyekben ő is főszerepet vállalt. A korszerű személygépkocsikba épített vezérlőegységeket, számítógéppel vezérelt funkciókat ugyanis szintén lehet hackelni. Az ezzel kapcsolatos kísérletekről egy elgondolkodtató videót is bemutatott, amleyben Andy Greenberggel, a Forbes magazin munkatársával mutatták be, mi történik, ha egy autót meghackelnek. Elsőre akár viccesnek is hathatott, amikor egy forgalomban lévő autó vezérlőegységét (ECU – Electronic Control Unit) állítgatták a CAN-buszon ( Controller Area Network) keresztül. A módosítás hatására ugyanis az autó magától elkezdett dudálni, megbolondult az üzemanyagszint-jelzője és a sebességmérője, majd lekapcsolt a fényszórója. Már ez utóbbi sem kellemes, amikor az éppen éjjel, az országúton következik be, de ennél drasztikusabb járműbiztonsági problémák is felmerültek. Sikerült ugyanis befolyásolni a kormánymű, a gázpedál és a fékek működését is, azaz a sofőr szempontjából az autó önállósította magát.

Miller célja nem a rémületkeltás volt, hiszen a mindennapi kockázatok – figyelembe véve a hackelés technikai és megvalósítási körülményeit – viszonylag kicsik. A szakember sokkal inkább arra szerette volna felhívni a figyelmet, hogy ma már az autógyártóknak is sokkal összetettebb biztonsági problémákra kell felkészülniük, mint évekkel ezelőtt.

Nagyon fontos a lehetséges támadók körének az azonosítása

A másik keynote előadó Finnországból érkezett. Mikko Hypponen, az F-Secure kutatási vezetője többek között arról beszélt, hogy a megfelelő védelem kiépítéséhez elengedhetetlen, hogy tisztában legyünk a potenciális támadók körével, valamint a céljaikkal. Erre azért van szükség, mert más megközelítést igényelnek azok a támadások, amelyeket a pénzszerzés motivál, mint azok, amelyek mögött hacktivista csoportok vagy kormányzati érdekek állnak.

A kiberbűnözők célja főleg a pénzszerzés, amihez gyakran például trójai programokat használnak, de gyakoriak a zsaroló, például hatóságok nevével visszaélő, számítógépeket zároló, majd pénzt követelő károkozók is. Ezzel szemben a kormányzati célú támadások esetében a fejlett, perzisztens fenyegetettségeket (APT – Advanced Persistent Threat) kell kezelni. Az ilyen akciók jól célzottak – hangsúlyozta Hypponen. Kezdetben egy-egy embert vesznek célba, akik sebezhetőségek kihasználására alkalmas fájlokat, dokumentumokat kapnak. Ha ezeket megnyitják, azzal utat is nyitnak a támadók előtt. Ehhez olyan exploitok kellenek, amelyek révén a biztonsági rések kihasználhatóvá válhatnak. Exploitok azonban elérhetőek, sőt az exploit-piac nagyon gyorsan képes reagálni az újonnan feltárt sérülékenységekre, a hibajavításokra, az új operációs rendszerekre, platformokra.

Mikko Hypponen: tudnunk kell, mi a kiberbűnözök célja!

Mikko Hypponen szerint adataink védelmét az is nehezíti, hogy egy sor olyan eszközt, alkalmazást használunk, amelyeken keresztül követhetők vagyunk. Azon is el kellene gondolkodnunk, hogy óa leggyakrabban igénybe vett szolgáltatások (Google, Facebook, Skype, Dropbox stb.) egytől egyig amerikai "fennhatóság" alá tartoznak.

A szakma itthon is dolgozik

Magyar kutatási ereményekről számolhatott be dr. Leitold Ferenc főiskolai docens és Horváth Botond mérnök informatikus hallgató. A kártékony programok által használt vezérlőszerverek (C&C – Command-and-Control) felé irányuló káros adatforgalmat kiszűrő biztonsági eszközöket tesztelték. Kétféle módszert alkalmaztak. Az egyik esetben az ártalmas adatforgalmat rögzítették. Majd "visszajátszották". A másikban pedig botnetes kártevőket telepítenek virtuális gépekre, és az azok által generált forgalmat szűrték, majd az adatokat kiértékelték. A tesztjek során 640 ezer egyedi URL-t vizsgáltak, és több mint 5 millió tesztesetből gyűjtöttek össze körülbelül 154 gigabájtnyi naplóadatot. A kísérletek, illetve a módszerek finomítása még jelenleg is folyamatban van, ezért a tesztekbe bevont hálózatbiztonsági eszközök nevét nem kívánták elárulni. Az azonban már látszik, hogy van még hová fejlődniük a védelmeknek a C&C forgalom szűrését, illetve a kártékony URL-ek kezelését illetően.

Szappanos Gábor, a Sophos víruskutatója néhány jól ismert kártékony kód mélyreható (assembly szintű) elemzésén keresztül mutatta be azt, hogy az egyes exploitok, shellcode-ok, payloadok miként kerülhetnek be a memóriába, és ott hogyan dolgoznak. Kiderült, hogy a verem- és regiszterműveletekkel teletűzdelt technikák sokszor egyáltalán nem olyan fejlettek, mint amilyennek látszanak. Gyakran kerülnek ősöreg eljárások a károkozókba, ugyanis a kiberbűnözők sem szeretnek többet dolgozni a céljukért, mint amennyit feltétlenül kell. Lehet, hogy egy-egy technikájukat hatástalanítják a védelmi eljárások vagy például a Microsoft EMET (Enhanced Mitigation Experience Toolkit) eszköze, de tudják: nincs minden gépen ilyen szintű védelem, és előbb-utóbb megtalálják a gyenge láncszemeket.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}