Az Ethical Hacking Konferencián jártunk

2015 fehér kalapos hacker konferenciáját május 9-én tartották a Kongresszusi Központban a NetAcademia szervezésében. A neves eseményen az információbiztonság témakörében válogatott előadásokat hallgathattak meg a résztvevők. A NetAcademia alapítója és vezető oktatója Fóti Marcell köszöntője után 8 előadó ismertette szakterületének legfrissebb kérdéseit.

Érdekes prezentációt láthattunk a rosszul megírt mobilalkalmazások rejtette veszélyekről, melyek a gyanútlan laikus felhasználók adatait kiszolgáltatják gyakorlatilag bármely hozzáértő személy számára. A demóban a Tinder nevű társkereső alkalmazás révén szemléltették, hogy a program olyan adatokat közvetít a hálózaton a központi szerver felé titkosítás nélkül, amelyekkel automatizáltan lehet a felhasználókról saját adatbázist készíteni, megkerülhetőek a telefonos alkalmazás korlátai és még a fizetős funkciók is ingyen elérhetőek némi hozzáértéssel.

A Social Engineer előadás az információbiztonsági rendszerek leggyengébb elemére helyezte a hangsúlyt – magára a felhasználóra. Videós prezentációiban bemutatta azokat a trükköket, melyekkel megrendelőiket vizsgálják át. Rovarirtóként hálózati lehallgató eszközöket csempésznek be, közvélemény kutatóként telefonon keresztül szereznek titkos információkat, átvizsgálják a szemetet  meg nem semmisített iratok után kutatva.

Megismerhettünk olyan sebezhetőségeket is, amelyeket az MS SQL Model minta adatbázisán keresztül lehet adatlopásra felhasználni.

Megtudhattuk továbbá, hogy még a VOIP telefonok is rejtenek biztonsági kockázatokat magukban. A hálózat monitorozásával felderíthetőek egy figyelmetlenül beállított rendszer gyenge pontjai, melyek akár egy cégen belüli személyazonosság meghamisítására is felhasználhatóak.

Egy képzeletbeli esemény modellezésén keresztül kiderült, hogyan lehetséges Magyarország lehetséges sérülékeny pontjait egyetlen laptop és egy átlagos internet kapcsolat felhasználásával 10 perc alatt feltérképezni. Egyszerű számítógépes alapismeretekkel rendelkező támadók kritikus infrastruktúrákat, erőműveket, reptereket, vegyi üzemeket és IP kamerákat találhatnak meg az interneten és juthatnak hozzá érzékeny információkhoz. Az előadásból megismerhettük azokat az eszközöket is, amelyek felhasználhatóak egy ilyen támadáshoz.

Rávilágítást nyertünk, hogy milyen merész vállalkozás már meglévő kriptográfiai algoritmusok helyett újat alkotni, és hogy a legtöbb kudarcra van ítélve. Élő demóban prezentálták a hálózaton utazó gyengén titkosított adatok visszafejtésének lehetőségét.

Erdődi László egyetemi tanár bemutatója a valós időben futó programok befolyásolásáról szólt. Különböző módszereken keresztül memóriában elhelyezett kódrészleteken alapuló támadásokat szemléltetett.

Az IP Cam Technologies Kft számára a legérdekesebb témát Tamási Benjamin másodéves egyetemi hallgató dolgozta fel, előadásában egy hálózati biztonsági kamera feltörésére vállalkozott.

Hálózati port szkenneléssel megállapította, hogy be tud jelentkezni telnet protokollon keresztül a kamerán futó beágyazott Linuxra. Az első akadályt az jelentette, hogy a beágyazott Linux és a kamera által futtatott web-szerver valójában nem ugyanazt a felhasználót jelentkezteti be.

A kamera gyártójának honlapjáról elérhető firmware frissítés elemzésével egyértelművé vált, hogy a firmware maga egy teljes Linux rendszer képfájlja. A képfájlt a saját számítógépén található könyvtárba felcsatolva rövid böngészés után megtalálta az egyetlen felhasználó (root) jelszavát egy régi típusú algoritmussal titkosítva.

A jelszót egy átlagos processzorral alig két nap alatt sikerült visszafejtenie (amihez még programoznia sem kellett, létező ingyenes kódfeltörő programot használt), így teljes hozzáférést kapott a kamera beágyazott rendszeréhez telneten keresztül, és hagyományos Unix parancsokkal tudta módosítani azt.

A bemutatóból kiderült, hogy a kamera webes felületén nézhető élőkép tulajdonképpen az 554-es porton érkező Linux process ID-vel rendelkező rtsp stream. Ez egy utasítással könnyedén leállítható majd újraindítható, a kettő között egy behatoló bármit megtehet, nem készül róla felvétel és a kamera sem jelez hibát.

Kis bütyköléssel lecserélte az élőképet először egy végtelenített video fájlra, majd egy másik kamera képére. A webes felület html elemeinek szerkesztésével funkciókat tudott hozzáadni vagy éppen letiltani a felhasználó elől, vagy akár teljesen elérhetetlenné is tette azt.

Demójának végére már ott tartott, hogy a kamerára bejelentkezve tulajdonképpen a saját számítógépén futó webes felületet és videókat látta a felhasználó, anélkül hogy bármit is sejtett volna.

Az előadás tanulsága, hogy a kamerarendszer kiépítéséhez csak megbízható és ellenőrzött gyártótól származó termékeket válasszunk, valamint az informatikai rendszer kiépítését is körültekintően, az információbiztonsági alapelveket szem előtt tartva végezzük.