Antivírus blog

vírusok, férgek, botnetek, kártevők

Hacktivity 2009 első nap

2009. szeptember 22. 15:01 - Csizmazia Darab István [Rambo]

Újabb Hacktivity találkozóval lehettünk gazdagabbak, ezúttal új helyszínen volt az esemény. Mik történtek, hogy éreztük magunkat, erről lesz szó a továbbiakban. Az esemény megszokott házigazdája most is Krasznay Csaba volt, aki mellett ezúttal Bártfai Attila segített, hogy a másik teremben is sínen legyenek a dolgok.

A szívünknek kedves, félhomályos, sörös kriglis Fonó után eleinte kicsit furcsa volt a sok neonnal kivilágított, hatalmas és modern előadótermek kevésbé barátságos látványa. Persze nyilvánvalóan szükség volt a továbblépésre, és kétségtelen előnyei is megmutatkoztak a tágabb környezetnek, ami a Gólyavár Konferenciaközpont volt. Egyrészt a látogatók száma elért az 500-at, ami egy szép kerek szám, másrészt megszűnt a korábbi közelharc a hálózati elosztósávokért, itt aztán ipari mennyiségben voltak konnektorok, mindenki könnyedén tudott noteszgépet 230-ról használni. A hangosításon vagy az előadók mikrofonhasználatán lesz még mit csiszolni, hogy a leghátsó sorokban is lehessen mindent hallani, ezen kívül már csak azért lehetett mérgeskedni, ha néha mindkét teremben egyszerre volt érdekes előadás, és Révész Sanyihoz hasonlóan nekünk sem volt két életünk. Ezen viszon remélhetőleg segít majd az IT Cafe mindkét teremben folyamatos video felvétele, amit majd hamarosan közkinccsé tesznek, valamint a Hacktivity honlapon is előbb-utóbb várhatóak az előadások PPT fájlai.

Már a kezdés sem volt átlagos, első ízben hívtak meg külföldi előadókat, a megnyitóra ezúttal érdemes volt viszonylag pontosan érkezni (bár a szokásosnak mondható késés fertelmes vétkébe ;-) ezúttal is belecsusszantak a szervezők). Alexander Kornbust neve sokaknak csenghet ismerősen a Red-Database-Security GmbH színeiben. Kicsit minden, amit az Oracle hackelésről tudni akartál, de sosem merted megkérdezni feelingben zajlott a bemutató, amiben rögtönzött, magyar oldalt is érintő hiba felfedezés is szerepelt. Nem volna érdemes neki felajánlani, hogy minden felderített hibáert kap egy százast, mert bizonyosan nem győznénk. Az 1992 óta az Oracle rendszerekkel fogalkozó Alender előadása meggyőző és érdekes volt, és bár a téma korábban mások által is be volt már mutatva részben, mindenképpen érdemes volt végignézni.

A "Finding the Hole" kérdésre pedig duplán is választ kaphattak az érdeklődők, hiszen nem csak az adatbáziskezelő biztonságában található lyukakra, de egyúttal a saját cég alapítása, a piaci igényeknek való megfelelés és az erre épülő sikeres vállalkozás is erre a gondolatmenetre épült. Kesernyés megjegyzésekből azért érezhettük, ezen a szinten a kiegyensúlyozott családi élet a türelmes családtagok támagatása nélkül már komoly csorbát szenvedhetne a rengeteg számítógép mellett töltött idő miatt.

Buherátor és Veres-Szentkirályi András a tavaly évvégi SSL biztonságával foglalkozó hírek hátterét mutatta be, pontosan mi mit ér, mit sikerült az MD5 lenyomatok hamisításával elérni, és mit nem. Az SSL szerintük egyelőre azért köszöni jól van, ennél jobbat még nem találtak ki. Bár az odafigyelés azért nem ártalmas, hiszen a TCP/IP gyengeségei adottak.

Buherátor blogja 2009-ben Goldenblog díjat szerzett az IT kategóriában, András pedig többek közt a 2004 és 2005-ös években hívta fel magára a figyelmet a Wargame-n aratott győzelmeivel.

Igazi ínyencség volt Pánczél Zoltán és Spala Ferenc előadása, amelyet az Nmap eszközhöz fejlesztett proxy patch programjukról tartottak. Az Nmap többek közt port szkennelésre is használatos, és arról szólt az előadás, hogy bár külső eszközökkel eddig is lehetett már fatengelyesen proxy szervert, illetve szervereket használni, de megszületett a "mi lenne ha ez benne lenne" elgondolás, amit aztán tett követett.

Kicsi vargabetű árnyékolta be a fejlesztést, amit az okozott, hogy első körben támaszkodtak a Wikipediás technikai leírásokra, amelynek hitelességéhez aztán kezdett kétség férni, és végül a "tiszta forrásból" jegyében visszatértek a jó öreg RFC-khez. A közbeláncolt proxykon keresztüli port scan tetszőleges számú és különböző típusú ilyen szerveren mehet keresztül, lenyomozhatósága pedig igen nehéz.

A szünet után is egy már jól ismert szereplő lépett a színpadra, Barta Csaba ezúttal egy saját készítésű rootkittel, illetve annak továbbfejlesztett változatával jelentkezett. Korábbi vizsgálódásai, és az internetről letölthető rootkit kódok elemzése után úgy vélte, tud ő is ilyet, sőt esetleg még jobbat alkotni.

Az úgynevezett token lopásos módszere tudomásunk szerint valóban teljesen egyedi és újszerű megközelítése a programozásnak. A Powerpoint ábrák mellett természetesen a rootkit is vizsgázott, állományok, folyamatok rejtődtek el a bemutató gépen.

Ebédszünet után - ahol a Kancellar.hu ingyensörét ihattuk és a Sicontact ingyen virslijét ehettük - szinte folytatása, vagy továbbgondolása volt ezek után Tevesz András előadása, amely stílszerűen a "Nem félünk a rootkittől" címet viselte. Alapos elvi áttekintést kaphattunk a különféle user és kernel módú rootkitekről, az úgynevezett hookolási (eltérítési) technikákról.

Annyi mindenesetre mindenkinek világos lett a végére, hogy bár vannak rootkit felderítő segédprogramok, és számos vírusvédelmi program már modulként is tartalmaz ilyet, azért száz százalékos felderítési esélye csak a Live CD-ről indított összehasonlító vizsgálatoknak van.

Egyszerre kezdődött két vírusvédelmi előadás is, mi a B teremben a kanadai Pierre-Marc Bureau víruskutató előadását hallgattuk. Az ESET szakembere a klasszikus "Ismerd meg az ellenfelet" mondás jegyében azt gyűjtötte össze, milyen érdekes vagy jelentős változásokat, meglepő fordulatokat hoz időnként a kártevők elemzése, mit tanulhatunk belőle, sőt mit kell, hogy megtanuljunk ezekből.

Teljesen más hozzáállást igényel egy kórokozó visszafejtése szemben annak megírásával. Az elemzett kártevők között olyan vicces kedvű vírusszerzők kódba rejtett üzenetei is szerepeltek, amelyek mintha egy Csupasz pisztoly epizódból csöppentek volna ide, például a "Bocs a múltkori kórházas dologért" - egyszerre vicces és morbid.

Ugyancsak a kártevők témaköréhez csatlakozott Balázs Zoltán Malware és Maffia című előadása is. A Sinowal bemutatása kapcsán aztán sok mindenről szó esett, rootkitek és MBR módosítás, valamint azt is láthattuk, ha egy naprakész vírusvédelemmel ellátott gépen - amelyen még a Windows frissítések közül sem hiányzik semmi - is előfordulhat károkozás. A kártevők és technikáik ismertetése a bankolással kapcsolatosan is megjelent, illetve annak végpontát érintve a banki pénzfelvevő automatákat is érinti.

Példákkal illusztrálva láthattuk, a rosszfiúk nem egyedül az otthoni PC kilensek elleni támadáson törik a fejüket, tömeges kísérletek vannak az automaták manipulálása felé is. Ahol a lakásba hazavitt routerekhez hasonlóan ugyancsak előfordul, hogy a gyártó által beállított alapértelmezett admin-admin típusú név-jelszó páros üzemel évekig. Nekem személy szerint az volt a kedvencem, amely az ATM-en futva ellopta az accountokat, majd a támadók, mikor egy speciális bankkártyával a helyszínre mentek, a nyugtaadó nyomtatóval a program kinyomtatta nekik az addig ellopott kártya és jelszó adatokat.

A PET portál részéről Gulyás Gábor és Paulik Tamás jelentkezett egy olyan böngésző kliensekhez fejlesztettt lehetőséggel, amely a blogok, közösségi oldalak adatait csak meghatározott körnek engedélyezné megtekinteni. A Firefox böngészőhöz való BlogCrypt kiegészítő kulcsokkal képes védeni a szövegeket, és a kulcsokban beállított jogosultsági szintektől függően akár részletekbe menően tudja a tartalom engedélyezését/tiltását elvégezni.

A még béta állapotban levő fejlesztést a gyakorlatban is megmutatták egy próba blog oldalon, működés közben.

És végül a hivatalos program keretében következett a kerekasztal az adatvédelemről. Sok érdekes kérdés felmerült, szinte elrepült az idő közben, a moderálást végző Krasznay Csaba pedig a témákat jól illusztráló video bejátszásokkal igyekezett egy-egy terület problémás eseteit bemutatni. Szabó Endre (Adatvédelmi Biztos Irodája), Dr. Ormós Zoltán (ügyvéd), Simon Éva (Társaság A Szabadságjogokért), valamint Makai Gyula (Nemzeti Nyomozó Iroda) és Székely Iván (CEU, Közép-Erurópai Egyetem) vettek részt a társalgásban, melyet a közönség a helyszínen, illetve az IT Cafe fórumában feltett kérdéseivel tudta közvetlenül is befolyásolni.

Bár sok minden elhangzott, azok a műkedvelő hackerek, akik egy-egy rendszerben hibát észlelve jóindulatúan figyelmeztetik is az érintett rendszer tulajdonosát, sajnos a továbbiakban sem érezhetik magukat biztonságban a csúnya, gonosz 300/C árnyékában. Talán jó lenne, ha ezek a sokszor és jogosan felvetett problémák egyszer végre már megnyugtató törvényi rendezést nyernének el, hiszen az út egy ilyen munkahelyen dolgozó jól kvalifikált pentester számára rendszerint az ilyen fiatalkori, egyetemista tapasztalatokkal van kikövezve, és ahogy az a következő nap látszott is, Magyarország védelmében egyes szervezetek külföldi támadás esetén akár számítanának is az ilyen értékes hazai tudásra.

Az első napi összefoglaló végére nem tudok mást írni, mint hogy nem csak végigolvasni volt  hosszú, hanem megírni is :-) Azt már nem merem megkockáztatni, hogy beleírjam: "aki idáig elolvasta, kap egy korsó sört", mert biztos vagyok benne, nagyon sokan jönnek majd ide, akár ott voltak személyesen, akár csak kíváncsiak az ott történtekre.

9 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr111398755

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

cworm (törölt) 2009.09.22. 16:06:28

Jó lenne egy kicsit kevésbé kapkodni az írással, mert rengeteg az elütés, ami förtelmesen zavaró tud lenni. Vagy utólag újra elolvasni az egészet és kijavítani a hibákat. Debug!:)

|Z| 2009.09.22. 16:22:03

Lássuk csak, mindig a cikk végén van a lényeg. Blabla blabla "aki idáig elolvasta, kap egy korsó sört". Ezaz. Hacker sörből lehet kérni? :)

atko 2009.09.22. 22:08:36

Riszpekt minden "kocka" fejnek!
Ők teszi a világot élhetővé. :-)

erdnek 2009.09.22. 22:09:47

jó az összefoglalód, a 300/C-t meg minél előbb finomítani kéne!!!!! mondjuk úgy, hogy egy rés bejelentése a hatóság felé (melyik hatóság? mondjuk az NHH) a hackernek jogot biztosítana, hogy a hibát általánosságban bemutathassa, publikálhassa...

atko 2009.09.22. 22:10:30

Ja igen és a söratom hasításhoz a neon fény elengedhetetlen, merthogy energiatakarékos.

r@ek (törölt) 2009.09.23. 00:21:04

"A szünet után is egy már jól ismert szereplő lépett a színpadra, Barta Csaba ezúttal egy saját készítésű rootkittel, illetve annak továbbfejlesztett változatával jelentkezett. Korábbi vizsgálódásai, és az internetről letölthető rootkit kódok elemzése után úgy vélte, tud ő is ilyet, sőt esetleg még jobbat alkotni."

Tovabbmegyek: ilyet barki tud alkotni. Mindosszesen 3 konyvet kell elolvasni hozza..

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.09.23. 08:44:41

Szia r@aek!

Én is éppen most fejeztem be az Agysebészet for Dummies című kötetet, remélem ez elég lesz a gyakorláshoz :-)

Azért amikor Tevesz Andris megkérdezte a publikumtól, ki programozott már BÁRMIT kernel módban, senki sem jelentkezett. És akkor ott van a táplálkozási lánc csúcsán az, ha nem csak megértem, ami egy könyvben le van írva, hanem én írom azt a könyvet ;-) Szóval nem azt akartam ezzel mondani, hogy csak félistenek tudnak rootkitet írni, hanem inkább azt, hogy Csabáé a jobbpofább megoldások közül való.

GHost (törölt) 2009.09.23. 09:41:14

Először is Tevesz András vagyok :)

@r@ek: 1 éved van a következő hacktivity-ig szerintem mindenki szívesen veszi, ha addig te is készítesz egy hasonlót. A 3 könyvet szerintem el lehet olvasni elég hamar.

A Barta Csaba kódjában az volt az igazán szép, hogy Windows 2000-től Windows 7-ig képes működni. Ha elolvastad a könyveket esetleg megnézted az előadását, akkor látni fogod, hogy minden service pack-ben változtat valamit a Microsoft és azokat egyenként kell kibányászni a szimbólumok közül vagy az élő rendszerből egy debugge-rel. A 3 könyv elolvasásával képes leszel egy kernel drivert lefordítani, de semmiféle segítséget nem fog adni a nem dokumentált részek felfedezésében.

Egy másik fontos dolog még, hogy rootkit-ből a világban kb. 100 as nagyságrendet találsz. Vírusokból milliósat. Ez azért számomra azt jelenti, hogy a világban nem rohangál annyira sok olyan zseni aki 3 könyv után képes arra amire a Csaba.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.09.26. 22:02:52

Időközben kikerült egy publikáció a rootkit.com weboldalra is, érdemes volt azt a három könyvet elolvasni :-DDD
www.rootkit.com/newsread.php?newsid=969