Hacker ugyan, de nem bánt, mi az?

2009. május 08. 21:28 - Csizmazia Darab István [Rambo]

Profi szervezés, profi előadók és előadások, teltházas nézőtér - röviden így jellemezhetjük mindazt, ami tegnap az Aréna Plázában, pontosabban annak mozitermében lezajlott Ethical Hacking konferencia 2009.

Második alkalommal vehettünk részt az Ethical Hacking konferencia eseményen, és a színvonalat ha lehet, sikerült még tovább emelni, csiszolni a tavalyihoz képest, lehet, hogy ehhez a GDF hallgatók előtti korábbi főpróba is hozzájárult.

A szokásos helyszínen, a Cinema City Arénaban gyűltek össze a résztvevők, akiket Fóti Marcell (NetAcademia) és Pap Péter (Kancellár) köszöntöttek. A beígért érdekes előadások nem csupán szóvírágok maradtak, érzésre mindenki egy végletekig kimunkált, élvezetes prezentációkat vezetett elő. Péter elmondta még, jó lenne egy olyan általános hozzáállás a cégek részéről is, hogy ne tartsák szégyellni valónak, ha egy pentestet végeznek el náluk. Ez egyáltalán nem negatív, vagy titkolnivaló dolog és teljesen normális, ha erre és a feltárt hiányosságok befoltozására rendszeres erőfeszítéseket tesznek. Keleti Arthúr (KFKI) pedig mindenkit nagy szeretettel invitált meg a közelgő, szintén itt rendezendő Informatikai Biztonság Napjára.

Az első előadó Tim Pierson (EC-Council, Network and Security Technology Expert) volt, aki a penetration test szükségességéről és fontosságáról beszélt. Bemutatójában egy virtuális gépbe való bejelentkezés is szerepelt alulnézetből, és láthattuk, mennyire kinderspiel a bejelentkezési jelszó ellopása annak, aki tudja pontosan mit és hol keressen.

A következőkben Deim "Ago" Ágoston (Linux Support Center) lépett a pástra, és a tavalyi Ciscos trükkök után ezúttal IDS megkerülési technikák szerepeltek a repertoárjában. A bemutató lényege nagyjából úgy summázható, hogy az IDS vagy IPS nem egy olyan megoldás, amit az ember feltesz a gépére, elindítja, aztán "dolgozzanak a gépek" jegyében elfelejti és hátradől a székében. Kizárólag annak érdemes ilyet használnia, akinek van elég szakismerete és ráfordítható ideje az ezzel kapcsolatos adminisztrációkra.

Az ilyenkor szükséges PH értékek után Mizsányi Attila (NetAcademia) következett, és bár valószínűleg mindenki hallott már publikus és privát kulcsokról, vélhetően sikerült így is olyan részletekről és finomságokról fellebbenteni a fátylat, ami adott új információt. Az mindenesetre biztos, hogy a működésről szemléletes képet kaphattunk, és az RSA atyjairól is megtudthattunk egysmást.

Egymás mellett, de a különbözőségek kihangúlyozásával helyezte párhuzamba a fehér és fekete kalapos hackelés jellemzőit két KFKI szakember, Gajdov Gábor és Imre Zsolt. Szerezzünk admin jogot és "hulljon az ölünkbe" a konkurencia adatbázisa - foglalhatnánk össze a bemutatott törekvéseket. Nem csak a "jó pap holtig tanul" volt ebben fontos, hanem a szemléletbeli különbségek is jól nyomonkövethetők voltak. Tanulságként annyi vonható le, nem szabad, hogy egy pentest egyszerű gondolkodás nélküli "push the button, run the tools, get the money" folyamattá silányuljon, ebben inkább a támadóra kell hasonlítani, aki élvezi és totálisan érti, mit és miért tesz rendszerünkkel.

Ebéd után Illés Márton (BalaBit) a tűzfalak és a titkosítás összefüggéseiről rántotta le a leplet, és a bemutató végén mindenki elgondolkodhatott, hogy az eddig ördögtől valónak tartott Man in the Middle módszer önmagában egyáltalán nem csak rossz célokra használható fel, hanem időnként jól és megbízhatóan szolgálhat bennünket.

Akik voltak a tavalyi Hacktivityn, emlékezhetnek Barta Csabára (PricewaterhouseCoopers) és sajátfejlesztésű sérükénységfelderítő programjára. Ezúttal egy új, saját készítésű rootkittel "örvendeztetett" meg minket, és kaphattunk egy kis ízelítőt a számítógépes szakértők nyomolvasói és nyomrögzítési technológiáiból annak kapcsán, hogyan mentik el a memória tartalmát speciális segédeszközök segítségével.

Némi kávé infúzió után a tavalyi Social Engineering téma után egy szintén fontos és érdekes területet mutatott be Novák Zsolt (Regulation Consulting): hogyan és mire kell figyelni egy munkaadónak, ha minimalizálni szeretné az emberi kockázatokat a cégen belül. Az élvezetes előadásban láthattuk, milyen kulcsfontosságú munkaköröket célszerű mindenképpen szétválasztani, továbbá milyen szempontoknak kell(ene) jelentős szerepet játszania a munkaerő felvételnél, illetve a munkavállaló távozásákor mire kell(ene) nagyon odafigyelni.

A záróelődásban végül, de semmiképpen nem utolsósorban Borsi Katalin és Zsíros Péter (NetAcademia) mutatták meg, hogy egy pongyolán megírt öt soros C programon is lehet fogást venni, ha valaki támadni szeretne, sőt ezek a lehetőségek egy kis buherálás után szinte nagyobb teret biztosítanak, mint azt eleinte az ember gondolná. Egy kis Metasploit frameworközés és Ollydebugolás után tetszőleges kód futtatása vagy egy új admin jogú felhasználó létrehozása is eszközölhető, ha az ember tudja, mit és hogyan bűvészkedjen egy egyszerű string bevitel kapcsán.

Összefoglalva: érdekes és élvezetes bemutatókat láthattunk, voltak benne vadonatúj dolgok, illetve ha valami ismert és régebbi téma volt ugyan, akkor is sikerült hozzáadni valami olyan pluszt, amiért mégis érdemes volt végiglépkedni a felvázolt gondolatmeneteken. Reméljük, jövőre is hasonló jókat írhatunk majd a következő Ethical Hacking konferencia kapcsán.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr291109319

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.