Magyar hekkerek a G8 csúcs gálavacsoráján?
A Hacker Halted a világ legjelentősebb etikus hekker rendezvénye, melynek célja, hogy felhívja a figyelmet az információbiztonságot fenyegető veszélyekre, illetve hogy a neves előadók és iparági szakértők megvitathassák és megismerjék a legjobb gyakorlatokat ezek megelőzésére és elhárítására. Az idén 15. alkalommal megrendezett konferencián a szervező, a világon elsőként etikus hekker minősítést kiadó EC-Council kizárólagos hazai partnereként a NetAcademia képviselői is előadtak.
„Az elmúlt 5-10 évben rengeteg kutatási eredmény született a rádiós hálózatok, illetve protokollok területén. Ezek bemutatására egy kerettörténetet találtunk ki, melynek lényege, hogy kizárólag vezeték nélküli eszközök használatával bejussunk a G8-as gálavacsorára. Abból indultunk ki, hogy van egy őrbódé tele vezeték nélküli kütyükkel és ezeket kell meghekkelni a siker érdekében” – mondta Tomcsányi Domonkos minősített etikus hekker.
Az előadás egyébként már a reptéri határőrök figyelmét is felkeltette, a demóhoz ugyanis egy bőröndnyi kütyüre is szükség volt, többek között három útlevélolvasóra, illetve néhány hamis e-útlevél készítésére alkalmas chipre.
A demó első lépésében egy vezeték nélküli otthoni telefont hekkelt meg a szakember, így aztán könnyedén lehallgathatta az iroda és az őr beszélgetését arról, hogy érkezni fog egy vendég, akit az őr a mobiltelefonjára kapott kód segítségével azonosít majd (a vendégnek ezt a kódot be kell mondania az útlevél-ellenőrzés során). A „betörők” úgy döntöttek, hogy ennek a vendégnek a helyére lépnek. Ehhez Bluetooth-on keresztül feltörték az őr mobiltelefonját az sms-ben küldött jelszóért, majd hamis útlevelet készítettek. „Az útlevélben található úgynevezett RFID chip szintén rádióhullámokkal kommunikál az olvasóval. Ezt és egy másik biztonsági hibát kihasználva sikerült létrehozni a hamis útlevelet. Ez ellen ugyan beépítettek egy védelmi lépést – az útlevélolvasó szoftver interneten egyeztet egy szerverrel –, mi azonban az őr WiFi kapcsolatát blokkoltuk, s a szabvány szerint, ha nem tud kapcsolódni a szerverhez, el kell fogadnia az útlevelet, ezzel gyorsítva az ügyintézést” – magyarázta Tomcsányi Domonkos.
Természetesen ez csak egy fiktív betörés volt, az Obamával tervezett vacsora elmaradt, ennek ellenére ez a példa jól illusztrálja, hogy milyen veszélyeket rejtenek a rádiós hálózatok egy tapasztalt hekker esetében.
Új tendenciák és célpontok a számítógépes bűnözésben
A konferencián jól látható volt egy olyan trend is, hogy a hekkerek egyre inkább elmozdulnak a beágyazott rendszerek elleni támadások irányába. „Napjainkban már szinte minden kütyüben van egy kis számítógép, melyekre veszélyt jelent, hogy a gyártók nem gondolnak bele abba, hogy lehet olyan, akinek eszébe jutna egy ilyet megbütykölni” – mondta Fóti Marcell, az Ethical Hacking tanfolyamok hazai képviseletét ellátó NetAcademia ügyvezetője. Már pedig vannak ilyenek, mint az számos előadó is bizonyította. Bemutatták például, hogy miként lehet meghekkelni egy laptop akkumulátorának vezérlő elektronikáját, melynek hibáit kihasználva egy bűnöző számos információhoz hozzáférhet. Egy másik előadásban pedig arról volt szó, hogy miként lehet orvosi eszközöket (például egy inzulinpumpát) megtámadni, ezekről információkat gyűjteni, illetve távolról vezérelni anélkül, hogy fizikai hozzáférésünk lenne hozzájuk. Mivel az ilyen eszközök néhány éven belül a hétköznapokban is el fognak terjedni, a gyártóknak megoldást kell találniuk ezekre a sérülékenységekre.
Hiába ismert azonban egy sérülékenység, mégis előfordulhat, hogy éveken át nem javítják ki. „Hiába telt el 7 év a firewire tervezési hibájának felismerése óta, a mai napig – még nagyvállalatok esetében is – a legtöbb operációs rendszer az alapbeállítások mellett sérülékeny erre a sebezhetőségre. Arról van szó, hogy az operációs rendszer ad hozzáférést bizonyos esetekben, bizonyos feltételek teljesítése mellett a számítógép fizikai memóriájához. Ezt a hozzáférést lehet kihasználni, és átírni a számítógép memóriájában az adatokat. Ehhez csupán az szükséges, hogy be legyen kapcsolva a gép, de az már nem, hogy valaki be is legyen jelentkezve” – magyarázta előadásának lényegét Barta Csaba (Deloitte). Bár a probléma több módon is orvosolható, valóban hatékony megoldást csak programozással lehet elérni.
Amikor a hatalmad alá tudod hajtani a gépet
Tomcsányi Domonkos jelenleg a Pázmány Péter Katolikus Egyetem mérnök informatikus szakán első éves hallgató, valamint a NetAcademia Oktatóközpont junior oktatója.
- Hogyan kerültél kapcsolatba az etikus hekkeléssel?
- 2006-ban találkoztam először a WiFivel, s elkezdett érdekelni, hogy miként működik, hogyan védik, hiszen a rádiójel szétszóródik az éterben, így elég könnyen rá lehetne kapcsolódni. Egy ideig csak olvasgattam a témáról, majd 2008 elején blogírásba fogtam. Ezen keresztül talált rám Fóti Marcell, a NetAcademia ügyvezetője, s azóta beszippantott ez a világ.
- Mi fogott meg ebben a területben?
- Megragadott, hogy a dolgok mögé lehet nézni, hogy hogyan működnek, s nem utolsó sorban a kihívás, hogy be lehet törni számítógépekbe, jó értelemben persze, megrendelésre. De mégis van egy nagy vonzereje, hogy hatalmad alá tudod hajtani a gépet, elérsz valamit úgy, hogy azt is tudod, mi történik a háttérben.
- Mik a céljaid?
- Az egyetemen szeretnék elindítani egy etikus hekker tankört az érdeklődő csoporttársaimnak. Jó lenne, ha idővel az egyetem támogatása mellett mi is tudnánk kutatásokat végezni, hogy Magyarországról is legyenek olyan biztonsági kutatási eredmények, melyekre büszkék lehetünk – persze a már meglévő nagy eredményeink mellett.
- Mit szól a környezeted ahhoz, hogy például az USA-ban tartasz előadásokat a világ biztonsági szakembereinek?
- A szüleim büszkék rám, de ők is fontosnak tartják, hogy diplomát szerezzek. A hallgatótársaim pedig főként azt várják, hogy induljon a tankör, mert egy kicsit motiválom őket, hogy érdemes az etikus hekkelés irányába elindulni, hiszen én is eredményeket tudtam itt elérni. De nem szabad felvágni ezzel az egésszel, hiszen élvezetből csinálom, az már csak egy mellékhatás, hogy olyan cégek keresnek meg, akik azért nem bárkit, bárhol.
- Mint például? A mostani előadásod után is megkerestek?
- Kaptam néhány megkeresést, egy amerikai biztonsági tanácsadókat képző cég a vezeték nélküli rendszerek sérülékenységét bemutató moduljuk összeállításához kéri a segítségemet, illetve úgy néz ki, hogy néha akár taníthatnék is ott.
Kapcsolódó webcím: www.netacademia.net
Kapcsolódó cikkek
- FBI: a kibertámadások a terrorizmusnál is veszélyesebbek
- A Stratfor az adatvédelem megsértésének minősítette a WikiLeaks-kiszivárogtatást
- Videokonferenciák: páholyból figyelnek a hackerek - Könnyedén felnyithatóak a zárt rendszerek (2. rész)
- Videokonferenciák: páholyból figyelnek a hackerek - Könnyedén felnyithatóak a zárt rendszerek (1. rész)
- Két és fél év szabadságvesztést kapott a Marriottot zsaroló magyar hacker
- Az Anonymus csoport megtámadta a szlovák kormány weboldalait is
- Izraeli hackerek áldozata lett egy iráni médium és egy minisztérium honlapja
- Több órára leálltak a lengyel közigazgatási szervek honlapjai
- Az Európai Bizottság helyteleníti a fájlcserélők elleni kemény amerikai fellépést
- Az FBI lecsapott a Megauploadra, az Anonymous válaszul az FBI-t támadta
E-világ ROVAT TOVÁBBI HÍREI
A Sony bejelenti második generációs zászlóshajóját, az Alpha 1 II fényképezőgépet
A Sony bemutatja a második generációs Alpha 1 II zászlóshajóját, egy új full frame, tükör nélküli, cserélhető objektíves fényképezőgépet, amelyet a Sony legmodernebb AI feldolgozóegységével működik. A fényképezőgép körülbelül 50.1 megapixel (MP) effektív felbontású érzékelővel rendelkezik, akár 30 fps sebességgel, AF/AE-követéssel képes elsötétedésmentes sorozatfelvételt készíteni, torzításmentes zárral van ellátva, és továbbfejlesztette a képtisztaságot a közép- és magastónusok érzékenységénél.
Az új Sony objektív nagy felbontást, gyönyörű bokeh-t és fejlett autofókuszt kínál
A Sony bejelentésével új utat tör: az FE 28-70mm F2 GM prémium E-bajonettes objektív a teljes zoomtartományban nagy, F2-es rekesznyílással büszkélkedhet, így gyönyörű bokeh-t, nagy felbontást és egyedülálló autofókuszt biztosít állóképekhez és videófelvételekhez, nem beszélve a prímobjektívek minőségével vetekedő élességről és kontrasztról.
A digitális bankolás jövője: személyre szabott ügyfélélmény és új generációs technológiák
A Deloitte legfrissebb, Digital Banking Maturity 2024 kutatásának eredményeiből kiderül, hogy a COVID-19 járvány idején elindult digitalizációs folyamatok nemhogy nem lassultak, hanem új lendületet kaptak a bankszektorban az elmúlt évek során, alkalmazkodva az ügyfelek folyamatosan bővülő igényeihez. A fejlesztések fókuszában a funkciók mennyisége helyett, egyre inkább a személyre szabottság, az ügyfélélmény fokozása és a költséghatékonyság kapott hangsúlyt. Emellett a korábban elhanyagolt területek, például a digitális jelzálog is előtérbe kerültek.
OMV: 2025 végéig országszerte elérhető lesz az ultragyors töltőhálózat
Országszerte 15 helyszínen már igénybe vehetőek az OMV új gyorstöltői. A társaság még idén megduplázza ultragyors töltéssel üzemelő töltőállomásai számát, 2025 végéig pedig közel 50 helyszínen összesen 80 villámtöltő pont működik majd az országban. A töltők legalább 100 kW teljesítmény leadására képesek, ami később több helyszínen akár a 200 kW-ot is elérheti, a hálózati kapacitás függvényében. Az OMV saját applikációt is fejlesztett a töltőkhöz, amiben most különleges akciókkal várja az autósokat.
Nemzetközi szintre lép a karbonlábnyom-csökkentő magyar startup
Balogh Petya és az általa fémjelzett STRT Holding Nyrt., valamint két másik befektető látott fantáziát a digitális marketing tevékenységek, így a weboldalak és e-mail kampányok karbonlábnyomának csökkentésére specializálódott Carbon.Crane-ben. A világszinten naponta küldött 350 milliárd e-mail* és a 200 millió aktívan üzemelő weboldal** – a háttérben dolgozó szerverparkok miatt – egyre nagyobb, ráadásul egyre növekvő részét teszi ki a globális karbonkibocsátásnak, erre dolgozott ki egyedi megoldásokat a 100%-ban magyar tulajdonú és hazai alapítású startup. Az egyedi és innovatív szolgáltatásokat nemzetközi szinten is értékeli a szakma, amit legutóbb a MediaSpace Global Changemakers' Awards 2024 díjával ismert el.