A Hacktivity, alcíme szerint Kelet-Közép-Európa független IT Biztonsági Fesztiválja tizenegyedik alkalommal hívta Budapestre a régió és Magyarország IT-biztonsági szakembereit. A rendezvényről a Biztonságportál készített lapunknak összefoglalót.

Érdekes és gyakorlatias előadásokat, technológiai ismertetőket egyaránt hallhattak az érdeklődők október 10-11-én, a MOM Kulturális Központban. Az előadások mellett idén is voltak kiegészítő programok, versenyek is, például kiscsoportos hackelés. Az előadásokban volt szó webes és androidos alkalmazások teszteléséről, a Linux kernel modulok fejlesztéséről, rootkitkészítésről és -detektálásról egyaránt. És persze idén is megrendezték a HACK24-et, a csoportosan játszható 24 órás versenyt, ahol a csapatoknak logikai feladványok, közösségi feladatok, kriptográfiai és sztegano pályákon keresztül kellett átverekedniük magukat.

Mindenhol veszélyben vagyunk

A rendezvény mindkét napját egy-egy neves előadó nyitotta. Jason Chan, a Netflix biztonsági igazgatója arról beszélt, hogy milyen kihívásokkal kell szembenéznie egy Netflixhez hasonló szolgáltatónak. Mint mondta, egy streamingszolgáltató infrastruktúrájának ellenállónak kell lennie, mint például egy online DVD-bolténak, ahol a látogatók viszonylag kevés időt töltenek. A streaming szolgáltatásnál egyrészt nagyobb teljesítményre és sávszélességre van szükség, másrészt sokféle telemetriai adatot kell gyűjteni és feldolgozni a szolgáltatás minőségének javításához.

Olyan környezetben kell biztosítani a védelmet, amely rendkívül gyorsan változik, és amelyben folyamatosan jelentkeznek az újabb és újabb biztonsági problémák, amikre időben kell reagálni – összegezte a kihívásokat Chan. Ez akkor valósítható meg, ha a védett rendszer és a védelmi infrastruktúra is kellőképpen átlátható. A hatékony biztonsági rendszer felépítéséhez, működtetéséhez fontos lépés a kockázatok priorizálása, a tesztelés és a hatékony konfigurációmenedzsment is. A Netflix egyébként ehhez a saját fejlesztésű, de nyílt forráskódú Security Monkey eszközt használja.

David Jacoby az otthonát is feláldozta a biztonság oltárán

A második napot David Jacoby nyitotta, aki az otthoni szórakoztató elektronikai és IT-eszközei hackelésének tapasztalatairól számolt be. (A Biztonságportál Jacobyval készített interjúját egy kattintásnyira olvashatják.)

Így kémkedik a FinSpy

Sokan voltak kíváncsiak Marosi Attila előadására, akinek a nagy visszhangot kapott FinSpy kémprogram androidos változatát sikerült visszafejtenie. Előadásában bemutatta a kémprogram telepítését. Az alkalmazás, amelynek egyébként sok engedélyre van szüksége, és több lépcsőben fertőz. Figyel különféle események bekövetkezésére, majd amikor aktivizálódik, kiszivárogtatja az IMEI (International Mobile Station Equipment Identity) számot, és titkosított módon kommunikál a vezérlőszerverével.

Mint azt Marosi hangsúlyozta, a programot a nemzetbiztonsági szervek is használják, az benne alkalmazott titkosítás mégsem mondható különösebben erősnek: a kulcstér legrosszabb esetben is 30 órán belül „bejárható” egy átlagos PC-vel. Ráadásul a kulcs nem is kell ahhoz, hogy egy speciálisan összeállított SMS segítségével a fertőzött készülék monitorozó módba kerüljön, azaz lehallgathatóvá válhassanak az adott okostelefon környezetében folytatott beszélgetések.

A FinSpy moduláris felépítésű, a telepítőcsomagja minden egyes modult tartalmaz, és minden összetevő automatikusan fel is kerül a készülékre. Ha pedig egy ideig nem tud kommunikálni a vezérlőszerverrel, akkor (konfigurálástól függően) eltávolítja saját magát a telefonról. A kémprogram SMS-ekkel vezérelhető, sőt ezeket a speciális üzeneteket „le is nyeli”, vagyis a készülék tulajdonosa mit sem sejt abból, hogy éppen adatokat szivárogtatnak ki a telefonjáról.

A malware-eknek jó, hogy mindenki hibázik

Érdekes összefoglalót adott Csizmazia-Darab István arról, hogy a kártékony programok világában milyen baklövések vezettek a malware-ek általános elterjedéséhez. Pedig – mondta a szakértő – nagyobb odafigyeléssel számos probléma megelőzhető lett volna. Ez ugyanis egy többszereplős „játék”, amelyben nem csak a vírusírók vesznek részt aktívan, hanem a vírusvédelmeket fejlesztő cégek és a felhasználók is, akiknek a hibái szintén hozzájárulnak a malware-ek sikeréhez. A fejlesztőknek például hat év kellett, hogy megoldják a sok gondot okozó makrók kezelését, de hasonlóan hosszú idő alatt sikerült biztonságosabbá tenni az Autorun funkciót – hozott példákat Csizmazia-Darab.

A felhasználók elsősorban a biztonsági frissítések telepítésének elhanyagolásával járulnak hozzá ehhez az össznépi játékhoz. Jól példázz ez a 2007. óta terjedő Conficker féreg sztorija. Az által használt sérülékenységet 2008-ban kijavították, a károkozó mégis napjainkig szerepel a toplistákban, mivel a javításokat nem telepítik a felhasználók.

Csizmazia-Darab a kiberbűnözők baklövéseire is hozott példát. Például az androidos készülékek fájljait titkosító Simplocker trójai írói a kódban felejtették a dekódoláshoz használható kulcsot.

A jogász válaszol

Aki etikus hackeléssel foglalkozik, jó ha tisztában van a tevékenység jogi hátterével. Idén Alexin Zoltán adjunktus adott áttekintést az Európai Unió és Magyarország adatvédelmi szabályozásáról és a gyakorlatról. Mint mondta, az EU-ban elsősorban uniós szintű egységesítésre kell törekedni, vagyis arra, hogy az adatvédelmi szabályozásokat lehetőleg az összes tagállam elfogadja és alkalmazza.

A magyar szabályozásnak a töredezettség az egyik nagy problémája: jelenleg több mint 700 törvény és rendelet foglalkozik kisebb nagyobb mértékben adatvédelemmel, adatkezeléssel, ami igencsak megnehezíti a gyakorlati alkalmazásukat. Mivel az adatkezelések többsége törvény által előírt kötelezettségekből fakad, ezekben az esetekben nincs tiltakozási jog. Az adatkezelések másik bagy csoportja viszont beleegyezéssel történik (az egyén hozzájárul, hogy adatait kezeljék), vagyis bipoláris adatkezelési gyakorlatról beszélhetünk.

Alexin szerint a helyzeten javíthatna, ha az úgynevezett megengedett adatkezelés hazánkban is nagyobb teret nyerne, és az uniós elvek mentén például nagyobb szerepet kapna a szerződéses kapcsolatokból, a közérdekből vagy a jogos érdekből történő adatkezelés.

A konferenciáról egy kattintásnyira, a Biztonságportálon olvashatnak részletesebb beszámolót.