Idén is a MOM Kulturális Központban rendezték a Hacktivityt, a hazai etikus hackerek őszi seregszemléjét. A hagyománynak megfelelően az előadások mellett voltak kiscsoportos gyakorlati foglalkozások is, azaz ún. Hello Workshopok. A Biztonságportál szemlézte az esemény előadásait.

Ami az előadásokat illeti, idén sem lehetett panasz a változatosságra. Az általánosabb jellegű prezentációk mellett akadt szép számmal elő bemutató is, amikor a közönség valóban testközelből szemlélhette végig, hogy miként dolgoznak a fehér kalapos hackerek, bár a Hacktivity nem korlátozódott erre a témára: fejlesztőknek, programozóknak is szóltak érdekes előadások.

Az előadások sorát a Recurity Labs alapítója, Felix 'FX' Lindner nyitotta, aki a hackelés informatikában és a mindennapjainkban betöltött szerepéről beszélt. Előadásának legfontosabb mondanivalója az volt, hogy az üzletmenet-folytonosság gyakran felülírja a biztonsági követelményeket. Az összhang megteremtéséhez szükség lenne a jelenlegi biztonsági szemlélet megváltoztatására.

Terítéken a Hacking Team

Az utóbbi idők egyik legnagyobb botrányával, a Hacking Team rendszerének feltörésével foglalkozott Marosi Attila előadása. A nyáron kiszivárgott 400 gigabájtnyi adatban ugyanis nem csak a biztonsági szakértők kutakodhattak, hanem a kiberbűnözők is. Olyan technológiákhoz jutottak, amelyeket korábban elsősorban állami szervek, titkosszolgálatok, hatóságok használtak.

A Hacking Team számos platform alatt támogatta az adatgyűjtést, kémkedést. Ehhez számos nulladik napi sebezhetőséget is kihasznált. Ezekhez nem egyszer vásárlással jutott, majd be is építette saját megoldásaiba. Marosi Attila elsősorban az androidos támadásokkal foglalkozott. Élő demójával azt szemléltette, hogy a Webview biztonsági résének – és másik két hiba – kihasználásával, a HTTP adatforgalom manipulálásával, az eszközök rootolásával miként lehet átvenni a hatalmat egy androidos készülék felett. Mint kiderült a kémkedők az okostelefonokra telepített alkalmazások adatbázisai mellett a MediaServer segítségével a telefonbeszélgetéseket is képesek voltak lehallgatni. Az igazán aggasztó az, hogy a kihasznált sebezhetőségek az androidos eszközök 35 százalékán még mindig megtalálhatóak.

Az etikus hacker nem finnyás

Az Óbudai Egyetem immár negyedik alkalommal képviseltette magát a Hactivity konferencián. Az egyetem csapata ezúttal is a biometrikus azonosítás sebezhetőségeire koncentrált. A kézgeometriára épülő hitelesítést végző eszközök gyenge pontjait mutatták be, de olyan kockázati tényezőkre is kitértek, amelyek más azonosítási eljárásoknál is felmerülnek.

Az előadók a közönség szeme láttára igazolták azt, hogy egy papírdarabbal is megtéveszthetővé válhat egy nem megfelelően kialakított rendszer, sőt egy kézről készült fénykép kinyomtatását, és szivaccsal történő "háromdimenzióssá tételét" követően is átejthetők bizonyos biometrikus azonosító eszközök. A demózott megoldás mögött ráadásul egy Access adatbázis állt, amit elég könnyű kompromittálni. Az előadók hangsúlyozták: napjaink biztonsági incidensei mögött az esetek nagy részében szoftverek húzódnak meg, amelyek vagy alapból kártékonyak, vagy olyan biztonsági réseket tartalmaznak, amik a támadók céljait szolgálhatják.

A Fortinet vezető kutatója, Axelle Apvrille azt szemléltette, hogy egy olyan egyszerűnek látszó eszköz, mint amilyen egy Fitness Tracker miként válhat a támadók eszközévé. Nevetségesen egyszerű módszerrel lehet manipulálni az évente több mint 70 milliós darabszámban értékesített digitális karkötőket. Elég, ha egy USB-s ventilátorra vagy egy autó kerékére erősítik, a többit már elvégzi a gyorsulásmérő. Így manipulálható a lépésszám, a megtett távolság vagy akár a kalóriaértékek is, és ezzel többletpontokat lehet szerezni például egy reklámkampányban. Apvrille  azonban komolyabb kockázatokat is bemutatott.

Mint mondta, egy biztonsági rés miatt az általuk vizsgált Fitness Trackerhez csatlakoztatott számítógépekre tetszőleges kódok juttathatók fel, igaz csak kisméretű payloadok felhasználásával. Axelle szerint ez elég ahhoz, hogy egy nagyon egyszerű károkozó kerüljön fel egy rendszerre. A szóban forgó sérülékenységet az érintett gyártó ugyan már befoltozta, de az eset kitűnően mutatja, hogy egyre több olyan eszköz vesz bennünket körül, amelyekről első látásra nem gondolnánk, hogy biztonsági kockázatokat hordoznak.