A legjobb dolog a héten

2011. május 13. 12:15 - Csizmazia Darab István [Rambo]

Lezajlott az idei Ethical Hacking 2011 konferencia. Az évről évre emelkedő színvonal mellett az egy négyzetméterre eső etikus hackerek fajlagos száma is gigantikus, de van itt minden: zeroday, Android, felhő, RFID útlevél és teltház.

A szokásos Aréna Plázás helyszínen zajlott le tegnap a 4. Ethical Hacking nap, ahol a jól összeválogatott témák, és a felkészült előadók egy jó napot szereztek a téma iránt érdeklődőknek.

A főszervező Fóti Marcell (NetAcademia) bevezetőjében többek közt arról a jó hírről is beszámolt, hogy az EC-Council CEH tananyag 7-es verziójába hivatalosan is bekerült a Barta Csaba által kifejlesztett, Windows rendszerek kompromittálására alkalmas rootkites technika.

Az első előadást Veres-Szentkirályi Andrástól (Silent Signal) hallhattuk, aki a méltán népszerű Android platform érdekes gyengeségeire világított rá, és az általa kiemelt támadható részletek hallatán az embernek az az érzése támadt, az Android lehet az új vadnyugat.

Mindenesetre újra kell gondolnunk az alkalmazásokkal kapcsolatos bizalmi helyzetet (például egy már feltelepített alkalmazás ajánl egy másikat), de emellett nem árt tisztában lenni azzal sem, hogy a Google távoli program visszahívási lehetősége nem csak azt jelenti, hogy kártevő esetén ők ezt meg tudják tenni, hanem technikailag akár telepíteni is tudnának a telefonokra távolról bármit.

Barta Csaba (Deloitte) a jelszótárolással és megszerzéssel kapcsolatban tartott előadást, melyben újszerű megközelítéssel a Volume Shadow Copy segítségével készített olyan másolatot, amiben aztán offline már kényelmesen tudott vizsgálódni.

Barátjával, John the Ripperel ;-) nem csak hashekből volt képes jelszavakat visszafejteni, hanem a teljes jelszótörténet segítségével a jelszóválasztási mintákat, szokásokat is eredményesen fel tudta térképezni, így ezzel a módszerrel akár egy későbbi jelszó is megjósolható.

A következő előadásban az elosztott szivárványtáblás törést mutatta be Dávid Zoltán (BME), aki olyan megoldást igyekezett felvázolni, ahol a már kiszámolt eredményeket nem kell mindig fáradságosan újra generálni, hanem az ilyen korábbi adatokra támaszkodva növelhető lehet a hatékonyság, illetve radikálisan csökkenthető az LM és MD5 hashek visszafejtésére fordított idő.

A szivárványtáblás törés lényege, hogy nem okvetlenül az eredeti jelszót kapjuk vissza a segítségével, hanem egy az adott hash értékhez társított egyenértű jelszóhoz jutunk, amit mindenképpen tudunk használni - magyarul egy adott hashhez több ekvivalens jelszó is tartozhat.

Buherátor és Pánczél Zoltán (Silent Signal) az etikus hackerek munkás hétköznapjaiba engedtek bepillantást, amelyből az derült ki, élesre fent nulladik napi exploit is egy szükséges kellék lehet az eszköztárban.

De emellett gyakran tapasztalják azt is, hogy a rosszul konfigurált eszközök (például root jogokkal futó Apache webszerver) is megkönnyítik az eredményes behatolást. Előadásuk végén meg is lett a hőn áhított rendszerszintű jogosultság, valamint az ügyvezető igazgató laptopjáról megszerzendő tetszőleges állomány is sikeresen az ölükbe pottyant.

Aki az assembler kódokat hiányolta, az fellégezhetett Klock László és Spala Ferenc (kancellár.hu) előadásán, akik a virtuális környezetek biztonságáról beszéltek. A megfelelő helyekre beszúrt NOP utasítások meg is hozták a kívánt látványos eredményt: lehetett jelszó nélkül utalgatni az összegeket a demo felhasználó számára.

Kihangsúlyozták ugyanakkor, hogy a "mindenható" vAdmin mozgástere és az azokkal való manipulációs lehetőségek valódi veszélyeket rejtenek, de ezt nem úgy kell felfogni, mint hibát ezekben a programokban, hanem sokkal inkább minden virtualizációs környezet sajátosságaként kell ezzel tisztában lenni, és persze az ilyen jellegű kockázatok feltérképezésére is szükség van.

Az ebédszünet után egy könnyedebb téma következett, a tavalyi Hacktivityn debütált Tomcsányi Domonkos mutatta meg az RFID-es e-útlevelek gyenge pontjait. Mint kiderült, sajnos nagyon sok az Achilles sarok, nincs például brute force elleni védelem, és a meglévő útlevelek megdöbbentően könnyen másolhatóak, klónozhatóak percek alatt filléres, 50 dolláros eszközökkel.

Emellett látványosan demonstrálta, hogy ahol nem külső forrásból ellenőrzik az egyes országok publikus kulcsait (PKD), hanem a saját magunk által aláírtat is elfogadják, ott könnyedén lehet az előírásoknak és az ellenőrzésnek megfelelő hivatalos útlevele Elvis Prestley-nek vagy Keleti Tarzannak Burkina Fasoból.

Második előadásában Barta Csaba (Deloitte) a FireWire porton keresztüli támadásról beszélt. A szakember a már ismert megoldást olyan módon alakította át, hogy minden Windows verzió, sőt Linux alatt is működő képes lett, így segítségével megszerezhetővé vált a hőn áhított rendszerszintű jogosultság.

További érdekesség, hogy a módszer segítségével nem csak a root jelszó, hanem a BitLocker recovery kulcs is elérhető lett a megtámadott számítógépből. Mivel ez csak bekapcsolt gépnél volt lehetséges, védekezésként a FireWire korlátozása, illetve a gépek távollétünkben való készenléti várakoztatása helyett a biztonságosabb hibernálást vagy teljes kikapcsolást érdemesebb alkalmazni, hiszen ekkor fizikai hozzáférés esetén nem lehetséges a fenti jelszólopási módszer. Érdekes volt az is, hogy akinek a gépén nincs IEEE1394 interfész, vagy kiöntötte azt műgyantával, az sem érezheti magát biztonságban, hiszen elég egy PCMCIA foglalat és az abba dugható FireWire adapter, máris reprodukálható a kísérlet.

Poén szinten már sokszor elhangzott a korábbi konferenciákon, hogy Amerikához képest mi milyen fejlettek vagyunk, lám nálunk "nulla" darab biztonsági incidens történik, mert hogy ennyiről számolnak be a cégek. Ezt az állóvizet próbálta most kicsit felkavarni Keleti Artúr (KFKI). Az etikus hackelési (természetesen fiktív, nem nevesített) tapasztalatok eddigi összképe alapján vázolt fel egy eléggé elkeserítő képet.

A pentestek eredményeinek semmibevétele, admin/admin típusú jelszó, nagyfokú naívság a social engineering trükkökkel szemben, az ezt is kipipáltuk kérem a plecsnit hozzáálláson át igen gyakran előfordul, hogy a jelzett gyenge pont kijavítása nem történik meg soha, vagy csak óriási időbeli késéssel, de az is jellemző, hogy a javítás minőségben csak annyiban különbözik a korábbitól, hogy 15 perc helyett 20 perc kell a töréséhez. Nyilván nem várja el senki, hogy a megrendelők, a megbízó cégek atombiztos dolgokat vásároljanak, fejlesszenek ki csillagászati összegekért, de a tapasztalat szerint az elvárható gondoskodás mértéke sírnivalóan alulmarad az elvárhatótól. Nem is az új eszközökre szánt pénz hiányzik, hanem sokkal inkább a meglévő dolgok helyes és szakszerű konfigurálása, beállítása hagy erős kívánnivalókat a cégek részéről.

A szünet után az Oracle biztonságról hallhattuk Tóth László (Deloitte) előadását. Az Oracle fejlődése az évek folyamán egyre hatalmasabb programot eredményezett - ez a legfrissebb változatnál például már százezer feletti függvényt és 17 ezer globális változót jelent.

Egy általa felfedezett Remote Job Scheduling-ban talált  sebezhetőséget demonstrált, amit a fehér kalap jegyében már a hivatalos hibajavítás elkészülte után mutatott csak be. Arról is hallhattunk, hogy az adatállományokban található egyre értékesebb vállalati adatvagyon miatt a sötét oldal egyre erőteljesebb érdeklődést mutat az úgynevezett adatbázis rootkit technika iránt, ami az egyszer már sikeresen feltört adatbázisban való olyan manipulációt jelenti, amely hosszútávon és rejtve biztosítja a támadóknak a folyamatos kikémlelési, hozzáférési lehetőséget.

A felhőkben való tárolásról, az abban kezelt adatok biztonságos voltáról hallhattuk Lám Istvánt (ELTE), aki a kriptográfiai fájlrendszereket hívta segítségül annak demonstrálására, hogy ebben az irányban lehetséges kidolgozni olyan hatékony és rugalmas módszert, ami hosszú távon, a felhasználók változása mellett is biztonságos csoportjogosultságokat képes biztosítani harmadik fél bevonása nélkül.

Az általuk Tresoriumnak nevezett eljárás kidolgozása és befejezése lehet a kulcs mindehhez.

A mozi film (Tron:örökség 3D) előtt az ajándékok kisorsolása következett - ahol sajnos szomorúan konstatáltuk, sajnos mégsem mi nyertük meg a mysec-es Androidos mobilt ;-)

Zárásképpen a feszültség megfelelő levezetésről a már szintén szokásosnak mondható helyszínen tartott Buhera afterparty sörözés gondoskodott, ahol természetesen rendelkezésre állt minden szükséges kellék: alkoholos befolyásoltságú elágazó italkeverékek, zene, tánc, kitűnő széklábak :-)

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása