Antivírus blog

vírusok, férgek, botnetek, kártevők

Hacktivity második nap

2008. szeptember 21. 21:20 - Csizmazia Darab István [Rambo]

Következzenek a második nap eseményei dióhéjban. Csak ízelítőt tudunk adni, a hangulatot képtelenség így visszaidézni. Erős nap lett a mai, talán még a tegnapi programoknál is izgalmasabb módszerek, trükkök bukkantak elő nagyszerű előadóktól. Törölgethetik a könnyeiket, akik kihagyták. A jó hír az, hogy lesz jövőre is.

Kissé lefáradtan, de csak összegyűlt a csapat negyed tízre, és elkezdődött a program. Akárcsak tegnap, itt is sokszor nehéz volt kiválasztani, melyik teremben történik érdekesebb dolog, de hát nem vagyunk Révész Sándorok, nincs két életünk, muszáj volt egyet kiválasztani. Ezúttal a tegnapi kerekasztal (ami történetesen szögletes volt) egyik résztvevője, Andrei nyitott egy érdekes social engineering teszt projekttel. Öt éven át működött egy weboldala, ahol Nokia telefonokat lehetett függetleníteni, ehhez mindössze a IMEI számot és pár adatot kellett begépelni, és máris megkapták a látogatók a testreszabott számsort, amit bepötyögve hálózatfüggetlen lett a telefon. A pláne abban volt, hogy a begépelt és önként dalolva megadott adatok (IMEI, telefontípus, szolgáltató neve), a böngészőből lekérdezhető (oprendszer, böngésző, cookie) információkból és az esetlegesen megadott e-mail cím birtokában már szép adatbázist lehetett építeni az öt év alatt úgy, hogy eközben semmilyen jogszabályt nem sértett.

Jellemző módon nem csak külföldi, hanem mintegy 800 ezer magyar személyhez köthető kérés is érkezett ez idő alatt, amelyek nem csak magánszemélyektől, hanem esetenként állami hivatalok, minisztériumi internetes környezetből érkeztek. Tanulságos eset és nem tudhatjuk, hol melyik oldal él vissza ezzel egy olyan korban, ahol például az amerikai állampolgárokat ciageretta, autó és fegyver márkájuk alapján próbálják statisztikai programokkal megjósolni, ki szavaz majd a demokrata, és ki a republikánus pártra.

Baki Gábort már senkinek nem kell bemutatni, ezúttal egy ritka érdekes demonstrációt tartott, a wifi router sebezhető driverén keresztül és a Metasploit framework segítségével sikerült egy támadást levezényelnie.  A három számítógépen párhuzamosan zajló eseményeket inkább a haladó csoportos geekeknek szánta, és ez annyira kifinomult és szellemes volt, hogy végül igen komoly tapssal jutalmazta a nagyérdemű a furmányosan megszerzett local system jogot.

A kisteremben Szili Dávid beszélt az anonimizáló technikákról, ahol a névtelen levélküldésről és az anonim böngészésről esett szó az alapoktól a gyakorlati módszerekig, konkrét alkalmazásokig. Szóba került a Tor böngésző, a hasznos anomymous és jap firefox plugin, és a technika jelenlegi legnagyobb hátránya, az igen jelentős lassúság is. Jópofaság volt, hogy korábban egy egyszerű trükkel, a Google Tranlate segítségével, fordítás nélkül (English to English) is anonimizálhattunk, bár ha azt nézzük, hogy így meg a Google karmaiba hullottak az adataink, nem tudni, jól jártunk-e. A módszer mindenesetre ma már nem működiő képes, bezárták a kiskaput.

Azt el is felejtettem tegnap írni, hogy minden előadót egy Hacktivity cimkés vörösborral jutalmaztak a szervezők, így köszönték meg a munkájukat.

Talán szakmailag a legizgalmasabb elődás következett Major Marcell és Barta Csaba felvezetésében, a fuzzerekről, vagyis az automatikus sérülékenység detektáló programokról. Meglepő módon ezeknek már közel 20 éves múltjuk van, de a jelentőségük jobbára az utólsó néhány esztendőben nőtt meg, mikor is egy-egy újonnan felfedezett biztonsági rés igen hamar exploit formájában fenyegeti a felhasználókat a javítás elvégzéséig. Az előadók nem csak a technikákat ismertették, hanem bemutatták saját fejlesztésű Fuzzit és Browser Wave programjaikat, amelyek igen hatékonynak mutatkoztak, még nulladik napi Safari hibát is sikerült vele detektálni. Talán nem tévedek, ha úgy éreztem, ők aratták a legnagyobb szakmai sikert a közönség körében. 

Néhány éve nagy vihart kavartak a mobil kártevők, melyek eleinte inkább csak kísérleti kódok, jópofaságok voltak, de néhányuk már felesleges Bluetooth forgalommal gyors akkulemerítést, kéretlen MMS küldözgetéssel pedig akár anyagi kárt is képesek voltak okozni. A mobil kártevők minden fontos állomását érintve, konkrét példákkal ismerhettük meg Csiszér Béla előadásából, aki láthatólag nagyon beleásta magát ebbe a témába. Kiderült, hamarosan ismét szembesülhetünk a 2004 táján tapasztalt kaotikus helyzettel, úgyanis az új Symbian verzió 2008 júniusi feltörésével ismét lehetőség lesz tetszőleges, digitálisan nem aláírt programok telepítésére, és ez okozhat majd gondokat.

Egy érdekes könyv is bemutásra került, Dr. Székely Iván társadalmi főinformatikus  jelentette be a "Szabad adatok, védett adatok 2.” című kötetet, amely részben tartalmazza a korábbi előadások témakörét is, és minden érdeklődőnek jó szívvel ajánlják. A mű személyes adatok védelmét megvalósító sajátos informatikai technológiákkal és alkalmazásokkal foglalkozik, amelyek összefoglaló neve Privátszférát Erősítő Technológiák azaz Privacy Enhancing Technologies vagyis röviden PET.

Gulyás Gábor öszefoglalta dióhéjban a PET portál eddigi eredményeit, és a közeljövőben várható tanulmányokat, érdekességeket.

A legszórakoztatóbb és legszemléletesebb előadás kategóriában egyhangú pontozással Fóti Marcellnek ítéljük a díjat, aki a Rainbow táblákról mesélt, és illusztrálta, mutatta be az ezzel kapcsolatos érdekességeket, sőt a sokak szemében őskövületnek számító debug programmal egy hashből visszafejtő assembler programot is elővezetett.

A fotók szerint érezhetően itt gyűlt össze a legtöbb érdeklődő.

 

A két nap alatt zajló Wargame játék eredményhirdetése előtt már csak egy előadás zajlott, ahol Földes Ádám beszélt a szteganográfiáról, és ennek gyakorlati hasznáról. Érdekes volt hallani, hogy néhány esetben már az is problémát okozhat, ha a rejtett üzenetet ugyan nem tudják megfejteni, de azt már sikerül beazonosítani, hogy valaki valamit rejtve próbált meg tovább küldeni. Vannak országok, ahol ma még ezért is börtön jár.

Minden szervezőnek és előadónak ezúton gratulálunk és köszönjük a munkájukat, és külön köszönet az elvesztett fényképezőgépem megtalálásáért :-) Viszlát jövőre ugyanitt, ugyanennyi krigli sörrel a kézben!

8 komment
Címkék: hacktivity hacker

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr2674576

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

atleta.hu · http://www.atleta.hu 2008.09.22. 01:19:52

> Néhány éve nagy vihart kavartak a mobil vírusok, melyek eleinte inkább csak
> kísérleti kódok, jópofaságok voltak, de néhányuk már

Foleg, hogy nem voltak. Illetve, hogy hol vannak?

> felesleges Bluetooth forgalommal gyors akkulemerítést, kéretlen
> MMS küldözgetéssel pedig akár anyagi kárt is

Az, hogy irok egy programot, ami a BT-t cseszegeti, meg MMS-t kuldozget, az nem virus, meg csak nem is fereg. Az egy program, ami ezeket csinalja. Virus/fereg onnantol lesz, hogy kepes _onalloan_ terjedni. De ezt te is pontosan tudod.

> A mobil kártevők minden fontos állomását érintve, konkrét példákkal
> ismerhettük meg Csiszér Béla előadásából, aki

Hat ez iszonyat erdekes. En mobil kartevot meg csak eloadason lattam, meg a kulonfele virusirto gyarto/forgalmazo cegek PR cikkeiben. Pedig jo ideje mobil szoftverekkel foglalkozom.

> Kiderült, hamarosan ismét szembesülhetünk a 2004 táján tapasztalt kaotikus
> helyzettel,

Na de mi volt akkor? :) Tegye fel a kezet, aki latott mobil virust vagy ferget. En egyszer lattam _trojait_, de az ellen nem lehet es szerintem nem is kell technologiai szinten vedekezni.

> úgyanis az új Symbian verzió

Ennek ellenere a Symbian megprobalta, es ezzel eleg rosszat tett a (Symbianos) mobil szoftver piacnak. Gyakorlatilag megolik a kis es fuggetlen fejleszteseket. Raadasul faramuci modon az egyebkent sokkal szigorubb kornyezetben futo javas alkalmazasokra meg szigorubb szabalyok ervenyesek. Hiaba irod ala digitalisan, vagy akar hatjod keresztul a nevetsegesen draga JavaCertified eljarason, az alkalmazasod mindig kerdezgetni fog, ha kapcsolodni kell egy szerverhez, es csak hosszas gombnyomogatassal tudja errol lebeszelni a felhasznalo. (Application manager, megkeresed benne az alkalmazast, atallitod egyesevel a jogokat. Ezt tizbol egy juzer fogja megcsinalni, a tobbit elbuktad.)

> 2008 júniusi feltörésével ismét lehetőség lesz tetszőleges, digitálisan
> nem aláírt programok telepítésére,

Na, errol meg nem olvastam, de hat akkor az tortenik, hogy visszaal a 2004-es allapot, amikor is hol is volt kaosz? :) Valahogy 2001 ota Symbian teloim vannak, es ahogy mondtam nem, hogy nem talalkoztam meg ilyen kartevokkel, de meg csak olyan emberrel sem, aki talalkozott ilyennel. Csak 'szakertoktol' olvastam, hogy mekkor a a baj. Olyan szakertoktol, akik mobilra szerettek volna virusirtot eladni.

> és ez okozhat majd gondokat.

Aha, csak a problema ott van, hogy egy kartevonek nem az alairas ellenorzest kell megkerulnie, hanem valahogy eszrevetlenul be kell jutnia kivulrol a telefonba. Mert ha a felhasznalo telepiti, akkor trojai, az ellen meg szinte semmi nem ved (a Symbianos platform security ilyen alkalmazasa sajnos egy baromsag, es rendkivul kartekony.)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.22. 06:09:27

Hello Keeroy és Atleta!

Jogos a "virus" elnevezéssel kapcsolatos krtika, valóban inkább kártevőt jelent ez. Abban is igazad van, hogy ez "sokkal nagyobb a füstje, mint a lángja" dolog volt, semmint egy világszerte elterjedt valami. Attól hogy a te vagy az én telefonom nem fertőződött meg, ettől még kétségkívül valóban létezett.

Nem lett ez akkora piac semmelyik virusirtó cégnél, tudtommal például az egyik legrégibb játékos, az F-Secure már 1999 óta fejleszt mobil platformokra, de meglepne, ha ebből bármilyen számottevő bevételük származna ;-)

Hasonló okokból felesleges például a Macre írt AV, bármennyire is igyekeznek ezek a cégek népszerűsíteni saját terméküket. Ha slkerül elkerülnöd, hogy te magad trójai vagy rootkitet telepíts, akkor ez ma még felesleges.

A Symbianos progik piaca valóban megsínylette a szogorú szabályozást, állítólag az engedélyezési eljárásban előre be kellett küldeni a konzorciumnak, név szerint milyen függvényeket hívsz meg, és miért :-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.22. 10:19:45

Még visszatérve egy röpke pillanatra, a Cabir és a CommWarrior igenis féreg, mert - egy igen utan már - képes terjedni és saját maga másolatát juttatja el egyik készülékről a másikra. Az előadáson említett Lasco pedig egy hús-vér SIS fertőző igazi VÍRUS!

atleta.hu · http://www.atleta.hu 2008.09.22. 12:54:44

Az f-secure iszonyuan nyomta - talan pont 2004-ben -, hogy jonnek a mobil kartevok. Valami PR cikkben meg egy szuper bunkert is mutattak, aminek a lenyege persze egy Faraday kalitka volt, ahol tesztelik ezeket az iszonyat veszelyes kodokat. LOL. Nincs piac, hat megprobalnak teremteni.

Az egy igen utan fertozo ferget azert en nem hivnam feregnek. Raadasul messze nem igaz, hogy egy igen utan fertozne. Aki ezt mondja az vagy hazudik, vagy nem latott meg Symbiant. A bluetooth-on keresztul terjedo fereg ugy nez ki a felhasznalo szemevel - amikor epp jonne befele - hogy eloszor rakerdez a telefon, hogy fogadod-e az uzenetet. Errol mondjuk lattam a youtube-on egy videot, ahol bemutattak, hogy a 9.1-es Symbian alatt ha nemet mondtal, akkor a kerdes egybol ujra felugrott, mert a Cabir a tuloldalon nem adta fel. 9.2-nel mar ha egyszer nemet mondasz, akkor az ugy is marad, akarhanyszor probalkozik a tuloldal.

Na de... onnantol kezdve, hogy igent mondtal, csak annyi tortenik, hogy az inboxodba (ahova az SMSek is jonnek) jon egy SIS file. Neked ezutan meg kell nyinti az uzenetet (egy gombnyomas, ha kijelzi a telo, hogy van uj uzenet, de nekem ugy remlik, hogy el kell maszkalni az inboxba). Aztan az uzenet megnyitasa utan ha jol emlekszem kell megegy gombnyomas, hogy magat a SIS file-t is megnyissa, ebben most nem vagyok biztos (automatikusan nyomkodtam ;) ). Utana jon 2-3 kerdes, hogy akarod-e telepiteni, es biztos-e, es ki irta ala, stb.

Tehat valojaban 4-5 gombnyomas, szo nincs veletlenrol, meg egy mellenyomasrol. Tudom, mert fejlesztes es teszteles kozben rengetegszer kellett meg regebben BT-n keresztul felmasolnom es utana telepitenem a cuccot Symbianos telokra. Elmondom, hogy eleg bosszanto volt :). Most mar van alkalmazas, amit ha futtatsz a telefonon, akkor siman kerdezgetes nelkul felnyomja a SIS file-t (fejleszto eszkoz, explict futtatni kell a telefonodon, tehat kivulrol semmit nem ersz vele). Az egyik Symbian hack pont ezen alapszik, de az pl. csak arra jo, hogy a _sajat_ telodra tudjal alairas nelkul alkalmazast telepiteni.

> igenis féreg, mert - egy igen utan már -

En ezt inkabb trojainak hivom, mert a felhasznalonak explicit telepitenie kell, raadasul ahogy fentebb irtam eleg nehez ezt veletlenul, meg nem tudatosan megtenni.

> A Symbianos progik piaca valóban megsínylette a szogorú szabályozást, állítólag
> az engedélyezési eljárásban előre be kellett küldeni a konzorciumnak, név szerint
> milyen függvényeket hívsz meg, és miért :-)

Semmi ertelme az egesznek. Gondold vegig: irok egy komolyabb alkalmazast, mondjuk nehany tizezer programsor (Symbian eseteben, ahol eleg alacsonyszinten, a C++-nal joval lejjebb kell dolgozni, ez nem nagy kihivas). Aztan elkuldom egy reviewernek, meg meg is vezetem azzal, hogy leirom, hogy mi miert tortenik. Szerinted nehez elrejteni benne nehany tiz/szaz sort, ami olyasmit csinal amit nem kene? Mennyi idot szannak ra nehany szaz dollarert, hogy atnezzek a kodot? Na ennyi ertelme van a symbian signed processzben hinni, ennyire szamit, hogy sikerul-e megkerulni vagy sem. En ugy lattam egyebkent, hogy a hackekkel annyit sikerult elerni, hogy egy kulon (ha jol vettem ki alairt!) alkalmazas segitsegevel a _sajat_ telefnodra utana tudsz telepiteni alairatlan alkalmazasokat.

atleta.hu · http://www.atleta.hu 2008.09.22. 13:11:09

Megneztem ezt a Lasco-t, hat a leirasabol nem egyertelmu, hogy symbianon is fertoz-e. A leiras egyik reszeben az allt, hogy megfertozi az eszkozon talalhato SIS file-okat, amitol ugyan virus lenne, csak hat pont nem annyira jellemzo, hogy a SIS file-ok a symbian eszkozok kozt vandorolnanak, vagyis, hogy az ember SIS (installer) csomagokat tartana a telefonjan, es azt tovabb passzolgatna a haveroknak.

A leiras masik reszeben viszont azt irjak, hogy a SIS fertozest windows alatt koveti el, vagyis a windows-os gepen van egy kulon kartevo, ami az ott levo SIS file-okat fertozi. Ebben egyebkent tobb fantaziat latok, mert gyakorlatilag barmelyik a felhasznalo altal telepiteni szant alkalmazasbol 'tojait' lehet gyartani, a felhasznalo meg siman benezheti a dolgot. Ez igazabol javaval is mukodhet, es talan a leg eletkepesebb (es legjobb ;) ) mobil 'virus' otlet, amit eddig lattam. A telorol -telora fertozessel jol lehet paraztatni, csak egyelore nem mukodik. Es ezt mondtam 2004-ben is, es az ido egyelore engem igazol :).

A PCn megfertozni a felhasznalo altal telepiteni szant alkalmazast, vagyis kartekony (de nem tovabb fertozo) kodot nyomni bele az viszont mukodokepes es jo otlet. Siman lehet, hogy a felhasznalok nem veszik eszre a ravaszsagot, mert eleve telepiteni akarjak az adott alkalmazast, es ha ilyenkor visszakerdez a telefon, hogy nincs alairva, hat azt siman tovabbnyomja az ember. Csak hat ez mar nem mobil virus tema, hanem egy mezei PC-s kartevo, ami ugyan mobilon okoz kart, de terjedni PC-n keresztul tud, ezert ott lehjet megfogni.

Ja, es a Symbian fele eszetlen korlatozasokra visszaterve: Blackberryre javaban lehet fejleszteni, a Javas API sokkal tobbet enged, mint a j2me (majdnem annyit, mint a Symbian). Ennek ellenere a korlatozott APIkhoz valo hozzafereshez mindossze egy $20-os (!) kulcsot kell venni, amivel 2147483648-szer lehet alairni. Ez masodpercenkent egy alairast szamolva 68 evig eleg. :)

Szemben a Symbian signed proceduraval, ahol minden valtoztatas eseten fizetheted a dijat, vagy a j2me megoldassal, ahol evi 3-500 USD-t fizetsz az alairokulcsert. Persze ha lejart, akkor telepiteni sem fogjak tudni az alkalmazasod (marmint nem fognak elni az alairassal szerezheto plusz jogok).

Vidi Rita · http://www.hosnok.hu 2008.09.23. 15:14:12

Hát én tényleg törölgetem a könnyeimet...
A következő konferenciára írjátok fel a nevemet a névsorba! Köszi:)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.01.28. 15:40:21

Andrei ifjúi türelmetlenséggel ;-) már mindjárt 5 év után leleplezte magát :-D Íme egy idősebb játékos, aki megfontoltan, nem kapkodva 35 évet várt egy hasonló bejelentésével:
index.hu/tudomany/brittudosok/2009/01/28/nem_letezik_csellohere/