Dojcsák Dániel

Hackertámadás Budapesten!

Sebastian Schreiber, az IDC konferencia Kelet-Közép Európai turnéján elsőként itt Budapesten mutatta meg tudását és hívta fel a figyelmet arra, hogy mennyire sérülékenyek a számítógépes rendszerek. Nokia telefon bluetooth kapcsolattal, php form, SSL, Win XP shell, neki egyre megy, védtelen előtte minden hálózat. Szerkesztőségünk még az elő hackelés előtt készített a legális behatolóval interjút.

Sebastian Schreiber első pillantásra egy jól fésült, félénk kisfiú látszatát keltette és válaszaiban sem volt túl bőbeszédű. Ennek ellenére hamar bizonyította, hogy a hackerek igazán vicces és találékony emberek. A profizmus válaszaiban is érződött, a megfelelően diplomatikus kijelentésektől semmilyen csavart kérdés hatására nem volt hajlandó eltérni. Ez nem azt jelenti, hogy érdektelen válaszai voltak, de a témában felkészült emberről van szó.

SG.hu: Mi volt az első kapcsolatod a számítástechnikával?
Sebastian S.: Jelentkeztem egy BASIC szakkörre 1984 januárjában.

SG.hu: Hogyan töltötted a gyermekkorodat? Mindig is hacker akartál lenni vagy valami más?
Sebastian S.: Gyermekként mindig lenyűgözött, hogy csalhatok a számítógépes játékokban.

SG.hu: Mivel foglalkoznak a szüleid?
Sebastian S.: Mindketten közalkalmazottak, bár mostmár nyugdíjasok. Édesapám bíróként dolgozott, ezért soha nem csúsztam le addig, hogy illegális dolgokat csináljak.

SG.hu: Milyen lépések vezettek ahhoz, hogy hacker, majd IT biztonsági guru legyen belőled?
Sebastian S.: A BASIC szakkör után számítástechnika tagozatra kerültem, ami főként matematikát jelentett, ezáltal egyenes út vezetett a tuebingeni egyetem számítástechnika szakára. Tanulmányaim alatt számos ösztöndíj programban részt vettem, például a HP-nál az Egyesült Államokban, majd 1998-ban megalapítottam a saját cégemet, a SySS-t.

SG.hu: Tündöklés, presztízs vagy pénz és karrier?
Sebastian S.: Egyik sem. A technikai vonzódásom volt a fő motiváció.

SG.hu: Volt valaha is példaképed, sokat számított a közösség?
Sebastian S.: Nem.

SG.hu: Mi volt az első komoly betörésed? Letartoztattak valaha, vagy kerültél szembe a törvénnyel?
Sebastian S.: Sosem volt gondom a törvénnyel, mivel valójában soha nem végeztem semmilyen illegális tevékenységet. Sosem végeztem hackelést leszámítva a szerződéses ügyfelek projektjeit. Sosem tekintettünk ellenségként a törvényre.

SG.hu: Legális hackeléseid során milyen ügyfeleid voltak? Volt valaki, akinek törhetetlen volt a rendszere?
Sebastian S.: Szinte mindenféle cég, webshopok, pénzintézetek, légitársaságok, szolgáltató cégek. Neveket nem mondhatok, ezt előírja a szerződés, de eddig mindössze egyetlen egy banknak a rendszere volt, ahol nem találtam biztonsági rést, a többi helyen mindenhol be tudtam jutni valahogyan.

SG.hu: Fel tudod törni a PGP-t?
Sebastian S.: (A néhány méterrel arrébb álldogálló Phil Zimmermannra pillant, s közben nevetve) Ááá, nem, dehogyis.

SG.hu: Jobban megéri biztonsági szakembernek lenni, mint rosszfiúnak? Az igazi kérdés: anyagilag mennyire kifizetődő a hackerség?
Sebastian S.: Nem tudjuk, hogy melyik nyereségesebb hosszútávon, de az biztos, hogy a mi módszerünk jóval kényelmesebb, nem kell félni.

SG.hu: Változott-e a hackerek mentalitása az évek során, van e még betyárbecsület, ha volt egyáltalán?
Sebastian S.: Mivel a magukat hackernek hívó emberek eléggé különbözőek, ezért nincs igazából elfogadott becsületbeli rendszer, habár azok a hackerek, akik jó programozók és valamely nagyobb IT biztonsági csoporthoz tartoznak keményen elítélik és támadják a kódlopást, illetve azokat a támadásokat, amik rendszerleállást, kiesést okoznak (pl.: D.o.S). SG.hu: Leginkább milyen biztonsági résekkel, problémákkal szembesülsz?
Sebastian S.: Ez természetesen függ a vizsgált projekttől, de általában a legegyszerűbb hibákat követik el a leggyakrabban, mint a gyenge jelszavak használata, illetve a rossz patchelési, frissítési politika. Ezek még mindig idegesítően gyakoriak.

SG.hu: Mi volt a leggyakoribb dolog, amivel megkeresték a cégedet az elmúlt évben?
Sebastian S.: Legtöbbször komplex analízist kell készítenünk web-alkalmazásokról, főként e-banking portálokról, webáruházakról.

SG.hu: Várható valami igazán nagy dolog az IT biztonság világában? Egyre jobb védelmek és egyre jobb hackerek vannak, ez örök körforgás?
Sebastian S.: Véleményem szerint három év múlva összeomlik az IT biztonság a világban. Biztosan újraosztódnak a lapok.

SG.hu: Mi a leghatékonyabb mód az emberi hülyeség csökkentésére?
Sebastian S.: Újra és újra ezt hangsúlyozom: növelni kell a biztonságra fodított figyelmet, képezni kell az embereket és elterjeszteni a szükséges tudást. Ez lehet a kulcs.

SG.hu: Írnak az antivírus cégek vírusokat?
Sebastian S.: Bármely cég, akit rajtakapnak ezen, másnap kint találja magát az üzleti világból és számtalan jogi következménnyel is szembe kell néznie. Mindenki, aki kiérdemli a "cég" nevet, az jobb, ha távol tartja magát ettől. Másrészt erre egyáltalán nincs is szükség, hiszen a vírusírók megosztják egymás közt a kódokat, így végtelen számú új vírust és variánst hoznak létre.

SG.hu: Veszélyesebbé teszi a világhálót a sok milliónyi kezdő internetező, vagy a fő érték nem az ő gépeiken van?
Sebastian S.: Egyrészről igaz, a végfelhasználók gépein lévő adatok komoly támadók számára teljesen értéktelenek. Másrészt ezek a gépek ha megfertőződnek és BotNET sejtekké válnak, akkor nagy mennyiségben igen komoly pénzt képesek hozni a spam és DoS támadások révén.

SG.hu: Játszol még számítógépes játékokkal? Esetleg társasjáték?
Sebastian S.: Egyáltalán nem, viszont havonta járok tollaslabdázni és minden héten röplabdázom.

Klikk ide!

SG.hu: Milyen készségek fontosak a szakmádban? Intelligencia, kreativitás, ügyesség? Tehetségesnek, szerencsésnek, szorgalmasnak vagy kitartónak tartod magad, hogy idáig jutottál?
Sebastian S.: Éppen ezek a tulajdonságok. A legjobb, ha ezek mindegyike egy egészséges kombinációban áll össze. Nem egyedül dolgozom és természetesen mindannyiunknak más képességei vannak.

SG.hu: Kikkel dolgozol együtt?
Sebastian S.: Leszámítva Laurát, az irodavezetőt, minden alkalmazott profi biztonsági szakértő és behatolástesztelő, különböző erősségekkel és gyengeségekkel. Tíz komolyan motivált profi biztonsági guru a lehető legjobb választék.

SG.hu: Mit gondolsz, egy közép-európai ország IT biztonsági stratégiájának miről kell szólnia 2006-ban, illetve azután?
Sebastian S.: A legfontosabb, hogy az állampolgárok minden adatát biztonságban, jól védett helyen tudják, illetve ellenállóvá kell tenni a hálózatokat a rosszindulatú hackerekkel szemben.

SG.hu: Ismersz magyar hackereket?
Sebastian S.: Attól félek, hogy nem. Ráadásul minden hacker csupán a becenevéről ismert, szóval nem derül ki, hogy melyik országból származik.

SG.hu: Mit jelent számodra Budapest és Magyarország?
Sebastian S.: Eddig öt alkalommal voltam már Budapesten és jártam még néhány más városban, például Egerben. Igazán tetszett maga a város, az emberek és természetesen az ételek. Már vannak barátaim is Magyarországon, akikkel nagyon szívesen találkozom.

SG.hu: Élő hackelést tartasz a világon mindenhol. Ez fricska a technikának, magamutogatás vagy önmegvalósítás?
Sebastian S.: Az élő hackelés egy biztonsági show bemutató szándékkal. Bármilyen közönségnek szólhat, általában mulatságos és növeli az érdeklődést a számítógépes biztonság iránt. Sebastian Schreiber - ahogyan a vele készült interjúnkból is kiderült - egy igazi jóindulatú fehér kalapos hacker. Legális céget alapított, és a cégek kérésére próbának teszi ki informatikai rendszerüket. Sebastian a leggyakoribb hibákból összeállított egy showt, melyet Budapesten is bemutatott. A bemutató célja valószínűleg a teremben ülő számos IT vezető felébresztése volt. Az unalmas előadásokon hiába szajkózza mindenki, hogy mennyire fontos a biztonság, hogy betörésekre kell számítani. A fiatalember viszont viccesen, vidáman, de meghökkentő egyszerűséggel mutatta be, hogy a mobiltelefontól az SSL-en át a Windows XP-ig semmi sincs biztonságban.

Az első bemutató egy Nokia 6310-es telefonnal zajlott. Sebastian szerint a trükk bármelyik Nokia telefonnal működik. A lényeg, hogy szükség van a bekapcsolt bluetoothra, illetve egy laptopra Bluetooth kapcsolattal. A keresés mindössze pár másodpercet vett igénybe és a teremben ahol körülbelül 100 ember ült, 15-20 bekapcsolt Bluetooth kapcsolatot detektált a hacker. Ezután saját C-ben írt programját elindítva néhány egyszerű parancs segítségével belépett egy készülékbe úgy, hogy annak a kijelzője mindössze néhány másodpercre villant fel. Ezután bármilyen adatot kinyerhetett belőle, sőt bármilyen műveletet elvégezhetett róla anélkül, hogy a kijelzőn bármi megjelent volna. Ennek prezentálására küldött is egy üzenetet az egyik résztvevő telefonjára. Elképesztő.

A következő trükk otthon is kipróbálható, egyszerű dolog. Hogyan szerezzünk a Google segítségével jelszavakat? Ez nagyon egyszerű. Semmi mást nem kell tenni, csupán le kell szűkíteni a keresést mondjuk .log kiterjesztésű fájlokra, és meg kell adni, hogy csak azokat jelenítse meg a találati listában, amiken belül megtalálható mondjuk a password szó. Erre a kombinációra jelenleg a Google 62 találatot ad ki. Természetesen ezek a log fileok már nincsenek az adott weblapon, de a Google miért ne tárolta volna el ezt is? Klikk a tárolt változatra. A parasztvakítás része itt kezdődik a dolognak, ugyanis egyrészt véletlenszerű, hogy hová tudunk jelszót szerezni, illetve ezek valószínűleg már megváltoztak a tárolás időpontja óta. Ellenben egy elvi lehetőség arra, hogy mire képes a webes kereső.

Klikk ide!

A harmadik áldozatnak Sebastian a webshopokat szemelte ki. Itt természetesen a cél az árak megváltoztatása lenne. Erre több verziót is ismer, a két legegyszerűbbet meg is mutatta nekünk. Az első kissé amatőr, de aranyos. Vannak olyan webshopok, ahol a "kosárba tesz" link tartalmazza az árat is és azt nem adatbázisból húzza elő a webbolt motor. Ilyenkor természetesen csak át kell írni az árat és már mehetünk is. Akár meg is rendelhetjük a kívánt terméket 1 euróért.

A második trükkhöz sincs szükség semmi komoly felkészültségre, csupán egy Internet Explorer pluginre. A HTML Source 2.0-ás változata képes egyrészt a php formokat megjeleníteni, illetve azon belül az értékeket meg is lehet változtatni. Amennyiben a webbolt motorja úgy van megírva, hogy ide olvassa be az árat és innentől már nem nyúl az adatbázishoz, akkor máris megrendelhetjük kedvenc szekrénysorunkat 10 Ft-ért. Amennyiben viszont jól megírt motorról van szó, akkor ezzel maximum csak viccelődni lehet.

Természetesen a Windows Xp, mint felület sem maradhat ki egy igazán igényes hacker palettájáról. Itt egy nem megfelelően frissített operációs rendszerrel trükközött Sebastian. Újfent saját készítésű programjának segítségével pillanatok alatt csatlakozott a hálózaton keresztül elért XP-hez, majd kezdésnek létrehozott egy alkönyvtárat a C: meghajtón. Semmi baj, gondoltuk. Ezután létrehozott egy felhasználói fiókot, ami még mindig nem olyan komoly fenyegetés, de mikor ugyanilyen nemes egyszerűséggel adott saját magának admin jogot, akkor szerintem mindenkinek egy kis gombóc lett a torkában, aki nem végezte el a frissítéseket a rá bízott hálózatokon.

Hatásvadász módjára pedig eljátszotta azt a trükköt is, amit anno gyerekként Windows 98-ok ellen mi is gyakran megtettünk. A nuke, azaz a rendszer működésképtelenné tétele manapság már nem olyan könnyű, ehhez is védtelen XP-re van szükség. A hacker a látvány kedvéért elkezdte pingelni a támadott XP-t, elénk tárta mind a két gép monitor képét is, és egy hosszú parancs után egy laza Enter leütésével kék halálra ítélte a támadott laptopot.

A trükközés utolsó részében következtek azok a támadások, amik kevésbé látványosak, kevésbé show szerűek, viszont a legkomolyabb fenyegetést jelentik. Hiába a feltörhetetlen kulcs, amit Phil Zimmermann is emleget folyton, ha a mi hackerünk nem is akarja már feltörni. Egyszerűen beáll a felhasználó és a szerver közé, elkapja az első adatcsomagot amit mondjuk a netbankja felé küldene, és a saját kulcsát küldi tovább, majd a banktól is ő kapja a visszajelzést, amit szintén a saját kulcsával helyettesít. Ezt a technológiát Man-in-the-middle, azaz ember középen támadásnak hívják és az igazi veszélye, hogy a felhasználónak esélye sincs arra, hogy észrevegye, hogy áldozatul esett egy ilyennek.

Gyakorlatilag egy ügyes hacker teljesen azonos képet varázsol a monitorra, mintha közvetlenül érnénk el a szolgáltatást. A szemléltetést először egy vicces dologgal kezdte, mégpedig az áldozati PC-n beírt www.volkswagen.hu weboldal helyére a Ford oldalát varázsolta úgy, hogy a címsorban továbbra is a VW oldala szerepelt. Később egy valós netbankon keresztül szemléltette, hogy mennyire egyszerűen el tudja lopni a beírt jelszót. Ennek birtokában pedig bármire képes.

Gondolom a trükköket még órákig tudta volna Sebastian prezentálni, de sajnos lejárt az ideje, bár azt gondolom, hogy ennyi is elég volt a megjelent fontos embereknek. Láttam a vezetők arcán hogy ugyan mosolyognak, mert a fiatalember humoros, szórakoztató formában adta elő a műsorát, de mindenkinek a szemében azért ott volt a megdöbbenés. Ugyan a bemutatott példák nagy része sarkított helyzet, de a Schreiberrel készült interjúnkból is kiderült, hogy a legtöbb esetben még mindig a banálisnak mondható hibákat követnek el a felhasználók és a rendszergazdák. Az emberi hülyeség ellen nincs frissítés, a frissítések elmulasztása viszont emberi hülyeség. Vigyázat!

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • archelf #71
    Parasztvakítás... (Persze az átlagember biztonsági tudatosságának emeléséhez ez is bőven elég). Rendes nettel kb 1-2 óra alatt lejön olyan linux, ami minden olyan "törőeszközt" tartalmaz, amivel (netről lefrissítve) törhető olyan xp (nem közvetlenül, de mondjuk levélben), amiről az eheti (!) biztonsági frissítés hiányzik. De egy két hónap elmaradt biztonsági frissítéssel már jó eséllyel felhasználó oldali beavatkozás nélkül is végrehajtható a "hatalomátvétel".

    AE
  • Dj Faustus #70
    "itt egy fasza kis javascript alapú webboltmotor, nem igényel szerver oldali script-futtatást és ez is úgy kezeli az árakat, hogy a felhasználó belepiszkálhasson."
    1. A rendelés elküldését valamilyen szerveroldali nyelvre kell bízni.
    2. A script cookie-kat használ. A példaoldalból szemezve (2 darab hálaadás-napi tök-csomagot "rendeltem" - Thanksgiving Pumpkin Pack): FPP1%7C2%7C59.95%7CThanksgiving%20Pumpkin%20Pack%7C14.95%7C - ott van benne az ár, a szállítási költség... Esetleg hamisítható?
  • noss #69
    a tudása mindenképp figyelemre méltó, ez nem kétséges. ha nem így lenne, már becsődölt volna a cége ;)

    http://www.nopdesign.com/freecart/

    itt egy fasza kis javascript alapú webboltmotor, nem igényel szerver oldali script-futtatást és ez is úgy kezeli az árakat, hogy a felhasználó belepiszkálhasson.
  • rosemberg #68
    Szerintem akkor is tiszteletre méltó a tudása mert egy apróságot elfelejtetek ő amiket csinált nem a haverjától kérdezte meg nem egy fórumon olvasta ,ő találta ki a megoldásokat és hát valjuk be ehez nem sokan értenek mert itt nem egy játékot kell meg crackelni.szerintem
  • noss #67
    szerintem is gáz volt azér ez a websopos példa, meg ha talál egy alaposan kifacsart, kivesézett exploitot winre és láss csodát, képes használni is...
    jó megfelelt a célnak, de szagmailag akkoris gáz =)
    viszont mint kezdeményezés kiválló, mer nem csak üres habla, a leglátványosabb talán a mobiltelós dolog lehetett (bár szagmailag az se olyan nagy szám)
    megjegyzem én nem vagyok heker és nem is tudok ilyesmit csinálni, de azér szagmailag vágom a tartás mihez képest... =)
  • Pukkár #66
    Nincs feltörhetetlen rendszer, ahogy nincs ellophatatlan autó, kirabolhatatlan múzeum. Csak van amit könyebb, van amit nehezebb. Ennyi. Erről kár vitatkozni.
  • Equ #65
    ja, tehát ez egy lámereknek szóló előadás volt? mert akkor OK... Csak akkor tudatosítani kéne ezt a sok itteni lámerrel is, hogy nehogy elhigyje, hogy ez a valóságban is ilyen egyszerűen megy, mert úgy tűnik sokan bekajálták...
  • Dj Faustus #64
    "utóbbi nagyon egyszerű, le is irtam: szakmailag inkorrekt példákkal próbál villogni."
    1. Mivel emberünk ebből - a rendszerek biztonsági hibáiból - él, nem fogja elárulni a "modern trükköket". Egyrészt hogy ne éljenek vele vissza, másrészt mert ezek a példák elég gyorsak, elterjedtek(?) és látványosak ahhoz, hogy előadható legyen.
    2. Sok ember jelenleg sem képes felfogni, hogy mit is jelent a számítástechnikában a biztonság. Gyenge jelszavak, bizalmas adatok megadása, rendszerfrissítések semmibe vétele, nyitott portok, hibásan megírt szkriptek...

    Igen pr - ez nekem is feltünt. De fontos felhívni az emberek figyelmét arra, hogy jobban ügyeljenek az ilyen dolgokra. Sebastian Schreiber ezt megtette.
    Nem istenítem, de ügyesen csinálta.

    Equ: Írj levelet a SySS-nek hogy bénák, és hogy többet vártál volna ettől az előadástól.
  • Equ #63
    "igazabol nem ertem miert istenititek, illetve hordjatok le ezt a sracot..."

    utóbbi nagyon egyszerű, le is irtam: szakmailag inkorrekt példákkal próbál villogni.

    Isteniteni meg nyilván azon laikusok istenitik, akik ezeket a szakmai bakikat nem veszik észre és bambán bekajálják a pr előadást...
  • dondore #62
    igazabol nem ertem miert istenititek, illetve hordjatok le ezt a sracot...
    mindenkinel van okosabb, szebb...