Következzenek a második nap eseményei dióhéjban. Csak ízelítőt tudunk adni, a hangulatot képtelenség így visszaidézni. Erős nap lett a mai, talán még a tegnapi programoknál is izgalmasabb módszerek, trükkök bukkantak elő nagyszerű előadóktól. Törölgethetik a könnyeiket, akik kihagyták. A jó hír az, hogy lesz jövőre is.

Kissé lefáradtan, de csak összegyűlt a csapat negyed tízre, és elkezdődött a program. Akárcsak tegnap, itt is sokszor nehéz volt kiválasztani, melyik teremben történik érdekesebb dolog, de hát nem vagyunk Révész Sándorok, nincs két életünk, muszáj volt egyet kiválasztani. Ezúttal a tegnapi kerekasztal (ami történetesen szögletes volt) egyik résztvevője, Andrei nyitott egy érdekes social engineering teszt projekttel. Öt éven át működött egy weboldala, ahol Nokia telefonokat lehetett függetleníteni, ehhez mindössze a IMEI számot és pár adator kellett begépelni, és máris megkapták a látogatók a testreszabott számsort, amit bepötyögve hálózatfüggetlen lett a telefon. A pláne abban volt, hogy a begépelt és önként dalolva megadott adatok (IMEI, telefontípus, szolgáltató neve), a böngészőből lekérdezhető (oprendszer, böngésző, cookie) információkból és az esetlegesen megadott e-mail cím birtokában már szép adatbázist lehetett építeni az öt év alatt úgy, hogy eközben semmilyen jogszabályt nem sértett.

Jellemző módon nem csak külföldi, hanem mintegy 800 ezer magyar személyhez köthető kérés is érkezett ez idő alatt, amelyek nem csak magánszemélyektől, hanem esetenként állami hivatalok, minisztériumi internetes környezetből érkeztek. Tanulságos eset és nem tudhatjuk, hol melyik oldal él vissza ezzel egy olyan korban, ahol például az amerikai állampolgárokat ciageretta, autó és fegyver márkájuk alapján próbálják statisztikai programokkal megjósolni, ki szavaz majd a demokrata, és ki a republikánus pártra.

Baki Gábort már senkinek nem kell bemutatni, ezúttal egy ritka érdekes demonstrációt tartott, a wifi router sebezhető driverén keresztül és a Metasploit framework segítségével sikerült egy támadást levezényelnie.  A három számítógépen párhuzamosan zajló eseményeket inkább a haladó csoportos geekeknek szánta, és ez annyira kifinomult és szellemes volt, hogy végül igen komoly tapssal jutalmazta a nagyérdemű a furmányosan megszerzett local system jogot.

A kisteremben Szili Dávid beszélt az anonimizáló technikákról, ahol a névtelen levélküldésről és az anonim böngészésről esett szó az alapoktól a gyakorlati módszerekig, konkrét alkalmazásokig. Szóba került a Tor böngésző, a hasznos anomymous és jap firefox plugin, és a technika jelenlegi legnagyobb hátránya, az igen jelentős lassúság is. Jópofaság volt, hogy korábban egy egyszerű trükkel, a Google Tranlate segítségével, fordítás nélkül (English to English) is anonimizálhattunk, bár ha azt nézzük, hogy így meg a Google karmaiba hullottak az adataink, nem tudni, jól jártunk-e. A módszer mindenesetre ma már nem működiő képes, bezárták a kiskaput.

Azt el is felejtettem tegnap írni, hogy minden előadót egy Hacktivity cimkés vörösborral jutalmaztak a szervezők, így köszönték meg a munkájukat.

Talán szakmailag a legizgalmasabb elődás következett Major Marcell és Barta Csaba felvezetésében, a fuzzerekről, vagyis az automatikus sérülékenység detektáló programokról. Meglepő módon ezeknek már közel 20 éves múltjuk van, de a jelentőségük jobbára az utólsó néhány esztendőben nőtt meg, mikor is egy-egy újonnan felfedezett biztonsági rés igen hamar exploit formájában fenyegeti a felhasználókat a javítás elvégzéséig. Az előadók nem csak a technikákat ismertették, hanem bemutatták saját fejlesztésű Fuzzit és Browser Wave programjaikat, amelyek igen hatékonynak mutatkoztak, még nulladik napi Safari hibát is sikerült vele detektálni. Talán nem tévedek, ha úgy éreztem, ők aratták a legnagyobb szakmai sikert a közönség körében. 

Néhány éve nagy vihart kavartak a mobil kártevők, melyek eleinte inkább csak kísérleti kódok, jópofaságok voltak, de néhányuk már felesleges Bluetooth forgalommal gyors akkulemerítést, kéretlen MMS küldözgetéssel pedig akár anyagi kárt is képesek voltak okozni. A mobil kártevők minden fontos állomását érintve, konkrét példákkal ismerhettük meg Csiszér Béla előadásából, aki láthatólag nagyon beleásta magát ebbe a témába. Kiderült, hamarosan ismét szembesülhetünk a 2004 táján tapasztalt kaotikus helyzettel, úgyanis az új Symbian verzió 2008 júniusi feltörésével ismét lehetőség lesz tetszőleges, digitálisan nem aláírt programok telepítésére, és ez okozhat majd gondokat.

Egy érdekes könyv is bemutásra került, Dr. Székely Iván társadalmi főinformatikus  jelentette be a "Szabad adatok, védett adatok 2.” című kötetet, amely részben tartalmazza a korábbi előadások témakörét is, és minden érdeklődőnek jó szívvel ajánlják. A mű személyes adatok védelmét megvalósító sajátos informatikai technológiákkal és alkalmazásokkal foglalkozik, amelyek összefoglaló neve Privátszférát Erősítő Technológiák azaz Privacy Enhancing Technologies vagyis röviden PET.

Gulyás Gábor öszefoglalta dióhéjban a PET portál eddigi eredményeit, és a közeljövőben várható tanulmányokat, érdekességeket.

A legszórakoztatóbb és legszemléletesebb előadás kategóriában egyhangú pontozással Fóti Marcellnek ítéljük a díjat, aki a Rainbow táblákról mesélt, és illusztrálta, mutatta be az ezzel kapcsolatos érdekességeket, sőt a sokak szemében őskövületnek számító debug programmal egy hashből visszafejtő assembler programot is elővezetett.

A fotók szerint érezhetően itt gyűlt össze a legtöbb érdeklődő.

A két nap alatt zajló Wargame játék eredményhirdetése előtt már csak egy előadás zajlott, ahol Földes Ádám beszélt a szteganográfiáról, és ennek gyakorlati hasznáról. Érdekes volt hallani, hogy néhány esetben már az is problémát okozhat, ha a rejtett üzenetet ugyan nem tudják megfejteni, de azt már sikerül beazonosítani, hogy valaki valamit rejtve próbált meg tovább küldeni. Vannak országok, ahol ma még ezért is börtön jár.

Minden szervezőnek és előadónak ezúton gratulálunk és köszönjük a munkájukat, és külön köszönet az elvesztett fényképezőgépem megtalálásáért :-) Viszlát jövőre ugyanitt, ugyanennyi krigli sörrel a kézben!