Dojcsák Dániel
Hackertámadás Budapesten!
Sebastian Schreiber, az IDC konferencia Kelet-Közép Európai turnéján elsőként itt Budapesten mutatta meg tudását és hívta fel a figyelmet arra, hogy mennyire sérülékenyek a számítógépes rendszerek. Nokia telefon bluetooth kapcsolattal, php form, SSL, Win XP shell, neki egyre megy, védtelen előtte minden hálózat. Szerkesztőségünk még az elő hackelés előtt készített a legális behatolóval interjút.
Sebastian Schreiber első pillantásra egy jól fésült, félénk kisfiú látszatát keltette és válaszaiban sem volt túl bőbeszédű. Ennek ellenére hamar bizonyította, hogy a hackerek igazán vicces és találékony emberek. A profizmus válaszaiban is érződött, a megfelelően diplomatikus kijelentésektől semmilyen csavart kérdés hatására nem volt hajlandó eltérni. Ez nem azt jelenti, hogy érdektelen válaszai voltak, de a témában felkészült emberről van szó.
SG.hu: Mi volt az első kapcsolatod a számítástechnikával?
Sebastian S.: Jelentkeztem egy BASIC szakkörre 1984 januárjában.
SG.hu: Hogyan töltötted a gyermekkorodat? Mindig is hacker akartál lenni vagy valami más?
Sebastian S.: Gyermekként mindig lenyűgözött, hogy csalhatok a számítógépes játékokban.
SG.hu: Mivel foglalkoznak a szüleid?
Sebastian S.: Mindketten közalkalmazottak, bár mostmár nyugdíjasok. Édesapám bíróként dolgozott, ezért soha nem csúsztam le addig, hogy illegális dolgokat csináljak.
SG.hu: Milyen lépések vezettek ahhoz, hogy hacker, majd IT biztonsági guru legyen belőled?
Sebastian S.: A BASIC szakkör után számítástechnika tagozatra kerültem, ami főként matematikát jelentett, ezáltal egyenes út vezetett a tuebingeni egyetem számítástechnika szakára. Tanulmányaim alatt számos ösztöndíj programban részt vettem, például a HP-nál az Egyesült Államokban, majd 1998-ban megalapítottam a saját cégemet, a SySS-t.
SG.hu: Tündöklés, presztízs vagy pénz és karrier?
Sebastian S.: Egyik sem. A technikai vonzódásom volt a fő motiváció.
SG.hu: Volt valaha is példaképed, sokat számított a közösség?
Sebastian S.: Nem.
SG.hu: Mi volt az első komoly betörésed? Letartoztattak valaha, vagy kerültél szembe a törvénnyel?
Sebastian S.: Sosem volt gondom a törvénnyel, mivel valójában soha nem végeztem semmilyen illegális tevékenységet. Sosem végeztem hackelést leszámítva a szerződéses ügyfelek projektjeit. Sosem tekintettünk ellenségként a törvényre.
SG.hu: Legális hackeléseid során milyen ügyfeleid voltak? Volt valaki, akinek törhetetlen volt a rendszere?
Sebastian S.: Szinte mindenféle cég, webshopok, pénzintézetek, légitársaságok, szolgáltató cégek. Neveket nem mondhatok, ezt előírja a szerződés, de eddig mindössze egyetlen egy banknak a rendszere volt, ahol nem találtam biztonsági rést, a többi helyen mindenhol be tudtam jutni valahogyan.
SG.hu: Fel tudod törni a PGP-t?
Sebastian S.: (A néhány méterrel arrébb álldogálló Phil Zimmermannra pillant, s közben nevetve) Ááá, nem, dehogyis.
SG.hu: Jobban megéri biztonsági szakembernek lenni, mint rosszfiúnak? Az igazi kérdés: anyagilag mennyire kifizetődő a hackerség?
Sebastian S.: Nem tudjuk, hogy melyik nyereségesebb hosszútávon, de az biztos, hogy a mi módszerünk jóval kényelmesebb, nem kell félni.
SG.hu: Változott-e a hackerek mentalitása az évek során, van e még betyárbecsület, ha volt egyáltalán?
Sebastian S.: Mivel a magukat hackernek hívó emberek eléggé különbözőek, ezért nincs igazából elfogadott becsületbeli rendszer, habár azok a hackerek, akik jó programozók és valamely nagyobb IT biztonsági csoporthoz tartoznak keményen elítélik és támadják a kódlopást, illetve azokat a támadásokat, amik rendszerleállást, kiesést okoznak (pl.: D.o.S). SG.hu: Leginkább milyen biztonsági résekkel, problémákkal szembesülsz?
Sebastian S.: Ez természetesen függ a vizsgált projekttől, de általában a legegyszerűbb hibákat követik el a leggyakrabban, mint a gyenge jelszavak használata, illetve a rossz patchelési, frissítési politika. Ezek még mindig idegesítően gyakoriak.
SG.hu: Mi volt a leggyakoribb dolog, amivel megkeresték a cégedet az elmúlt évben?
Sebastian S.: Legtöbbször komplex analízist kell készítenünk web-alkalmazásokról, főként e-banking portálokról, webáruházakról.
SG.hu: Várható valami igazán nagy dolog az IT biztonság világában? Egyre jobb védelmek és egyre jobb hackerek vannak, ez örök körforgás?
Sebastian S.: Véleményem szerint három év múlva összeomlik az IT biztonság a világban. Biztosan újraosztódnak a lapok.
SG.hu: Mi a leghatékonyabb mód az emberi hülyeség csökkentésére?
Sebastian S.: Újra és újra ezt hangsúlyozom: növelni kell a biztonságra fodított figyelmet, képezni kell az embereket és elterjeszteni a szükséges tudást. Ez lehet a kulcs.
SG.hu: Írnak az antivírus cégek vírusokat?
Sebastian S.: Bármely cég, akit rajtakapnak ezen, másnap kint találja magát az üzleti világból és számtalan jogi következménnyel is szembe kell néznie. Mindenki, aki kiérdemli a "cég" nevet, az jobb, ha távol tartja magát ettől. Másrészt erre egyáltalán nincs is szükség, hiszen a vírusírók megosztják egymás közt a kódokat, így végtelen számú új vírust és variánst hoznak létre.
SG.hu: Veszélyesebbé teszi a világhálót a sok milliónyi kezdő internetező, vagy a fő érték nem az ő gépeiken van?
Sebastian S.: Egyrészről igaz, a végfelhasználók gépein lévő adatok komoly támadók számára teljesen értéktelenek. Másrészt ezek a gépek ha megfertőződnek és BotNET sejtekké válnak, akkor nagy mennyiségben igen komoly pénzt képesek hozni a spam és DoS támadások révén.
SG.hu: Játszol még számítógépes játékokkal? Esetleg társasjáték?
Sebastian S.: Egyáltalán nem, viszont havonta járok tollaslabdázni és minden héten röplabdázom.
SG.hu: Milyen készségek fontosak a szakmádban? Intelligencia, kreativitás, ügyesség? Tehetségesnek, szerencsésnek, szorgalmasnak vagy kitartónak tartod magad, hogy idáig jutottál?
Sebastian S.: Éppen ezek a tulajdonságok. A legjobb, ha ezek mindegyike egy egészséges kombinációban áll össze. Nem egyedül dolgozom és természetesen mindannyiunknak más képességei vannak.
SG.hu: Kikkel dolgozol együtt?
Sebastian S.: Leszámítva Laurát, az irodavezetőt, minden alkalmazott profi biztonsági szakértő és behatolástesztelő, különböző erősségekkel és gyengeségekkel. Tíz komolyan motivált profi biztonsági guru a lehető legjobb választék.
SG.hu: Mit gondolsz, egy közép-európai ország IT biztonsági stratégiájának miről kell szólnia 2006-ban, illetve azután?
Sebastian S.: A legfontosabb, hogy az állampolgárok minden adatát biztonságban, jól védett helyen tudják, illetve ellenállóvá kell tenni a hálózatokat a rosszindulatú hackerekkel szemben.
SG.hu: Ismersz magyar hackereket?
Sebastian S.: Attól félek, hogy nem. Ráadásul minden hacker csupán a becenevéről ismert, szóval nem derül ki, hogy melyik országból származik.
SG.hu: Mit jelent számodra Budapest és Magyarország?
Sebastian S.: Eddig öt alkalommal voltam már Budapesten és jártam még néhány más városban, például Egerben. Igazán tetszett maga a város, az emberek és természetesen az ételek. Már vannak barátaim is Magyarországon, akikkel nagyon szívesen találkozom.
SG.hu: Élő hackelést tartasz a világon mindenhol. Ez fricska a technikának, magamutogatás vagy önmegvalósítás?
Sebastian S.: Az élő hackelés egy biztonsági show bemutató szándékkal. Bármilyen közönségnek szólhat, általában mulatságos és növeli az érdeklődést a számítógépes biztonság iránt. Sebastian Schreiber - ahogyan a vele készült interjúnkból is kiderült - egy igazi jóindulatú fehér kalapos hacker. Legális céget alapított, és a cégek kérésére próbának teszi ki informatikai rendszerüket. Sebastian a leggyakoribb hibákból összeállított egy showt, melyet Budapesten is bemutatott. A bemutató célja valószínűleg a teremben ülő számos IT vezető felébresztése volt. Az unalmas előadásokon hiába szajkózza mindenki, hogy mennyire fontos a biztonság, hogy betörésekre kell számítani. A fiatalember viszont viccesen, vidáman, de meghökkentő egyszerűséggel mutatta be, hogy a mobiltelefontól az SSL-en át a Windows XP-ig semmi sincs biztonságban.
Az első bemutató egy Nokia 6310-es telefonnal zajlott. Sebastian szerint a trükk bármelyik Nokia telefonnal működik. A lényeg, hogy szükség van a bekapcsolt bluetoothra, illetve egy laptopra Bluetooth kapcsolattal. A keresés mindössze pár másodpercet vett igénybe és a teremben ahol körülbelül 100 ember ült, 15-20 bekapcsolt Bluetooth kapcsolatot detektált a hacker. Ezután saját C-ben írt programját elindítva néhány egyszerű parancs segítségével belépett egy készülékbe úgy, hogy annak a kijelzője mindössze néhány másodpercre villant fel. Ezután bármilyen adatot kinyerhetett belőle, sőt bármilyen műveletet elvégezhetett róla anélkül, hogy a kijelzőn bármi megjelent volna. Ennek prezentálására küldött is egy üzenetet az egyik résztvevő telefonjára. Elképesztő.
A következő trükk otthon is kipróbálható, egyszerű dolog. Hogyan szerezzünk a Google segítségével jelszavakat? Ez nagyon egyszerű. Semmi mást nem kell tenni, csupán le kell szűkíteni a keresést mondjuk .log kiterjesztésű fájlokra, és meg kell adni, hogy csak azokat jelenítse meg a találati listában, amiken belül megtalálható mondjuk a password szó. Erre a kombinációra jelenleg a Google 62 találatot ad ki. Természetesen ezek a log fileok már nincsenek az adott weblapon, de a Google miért ne tárolta volna el ezt is? Klikk a tárolt változatra. A parasztvakítás része itt kezdődik a dolognak, ugyanis egyrészt véletlenszerű, hogy hová tudunk jelszót szerezni, illetve ezek valószínűleg már megváltoztak a tárolás időpontja óta. Ellenben egy elvi lehetőség arra, hogy mire képes a webes kereső.
A harmadik áldozatnak Sebastian a webshopokat szemelte ki. Itt természetesen a cél az árak megváltoztatása lenne. Erre több verziót is ismer, a két legegyszerűbbet meg is mutatta nekünk. Az első kissé amatőr, de aranyos. Vannak olyan webshopok, ahol a "kosárba tesz" link tartalmazza az árat is és azt nem adatbázisból húzza elő a webbolt motor. Ilyenkor természetesen csak át kell írni az árat és már mehetünk is. Akár meg is rendelhetjük a kívánt terméket 1 euróért.
A második trükkhöz sincs szükség semmi komoly felkészültségre, csupán egy Internet Explorer pluginre. A HTML Source 2.0-ás változata képes egyrészt a php formokat megjeleníteni, illetve azon belül az értékeket meg is lehet változtatni. Amennyiben a webbolt motorja úgy van megírva, hogy ide olvassa be az árat és innentől már nem nyúl az adatbázishoz, akkor máris megrendelhetjük kedvenc szekrénysorunkat 10 Ft-ért. Amennyiben viszont jól megírt motorról van szó, akkor ezzel maximum csak viccelődni lehet.
Természetesen a Windows Xp, mint felület sem maradhat ki egy igazán igényes hacker palettájáról. Itt egy nem megfelelően frissített operációs rendszerrel trükközött Sebastian. Újfent saját készítésű programjának segítségével pillanatok alatt csatlakozott a hálózaton keresztül elért XP-hez, majd kezdésnek létrehozott egy alkönyvtárat a C: meghajtón. Semmi baj, gondoltuk. Ezután létrehozott egy felhasználói fiókot, ami még mindig nem olyan komoly fenyegetés, de mikor ugyanilyen nemes egyszerűséggel adott saját magának admin jogot, akkor szerintem mindenkinek egy kis gombóc lett a torkában, aki nem végezte el a frissítéseket a rá bízott hálózatokon.
Hatásvadász módjára pedig eljátszotta azt a trükköt is, amit anno gyerekként Windows 98-ok ellen mi is gyakran megtettünk. A nuke, azaz a rendszer működésképtelenné tétele manapság már nem olyan könnyű, ehhez is védtelen XP-re van szükség. A hacker a látvány kedvéért elkezdte pingelni a támadott XP-t, elénk tárta mind a két gép monitor képét is, és egy hosszú parancs után egy laza Enter leütésével kék halálra ítélte a támadott laptopot.
A trükközés utolsó részében következtek azok a támadások, amik kevésbé látványosak, kevésbé show szerűek, viszont a legkomolyabb fenyegetést jelentik. Hiába a feltörhetetlen kulcs, amit Phil Zimmermann is emleget folyton, ha a mi hackerünk nem is akarja már feltörni. Egyszerűen beáll a felhasználó és a szerver közé, elkapja az első adatcsomagot amit mondjuk a netbankja felé küldene, és a saját kulcsát küldi tovább, majd a banktól is ő kapja a visszajelzést, amit szintén a saját kulcsával helyettesít. Ezt a technológiát Man-in-the-middle, azaz ember középen támadásnak hívják és az igazi veszélye, hogy a felhasználónak esélye sincs arra, hogy észrevegye, hogy áldozatul esett egy ilyennek.
Gyakorlatilag egy ügyes hacker teljesen azonos képet varázsol a monitorra, mintha közvetlenül érnénk el a szolgáltatást. A szemléltetést először egy vicces dologgal kezdte, mégpedig az áldozati PC-n beírt www.volkswagen.hu weboldal helyére a Ford oldalát varázsolta úgy, hogy a címsorban továbbra is a VW oldala szerepelt. Később egy valós netbankon keresztül szemléltette, hogy mennyire egyszerűen el tudja lopni a beírt jelszót. Ennek birtokában pedig bármire képes.
Gondolom a trükköket még órákig tudta volna Sebastian prezentálni, de sajnos lejárt az ideje, bár azt gondolom, hogy ennyi is elég volt a megjelent fontos embereknek. Láttam a vezetők arcán hogy ugyan mosolyognak, mert a fiatalember humoros, szórakoztató formában adta elő a műsorát, de mindenkinek a szemében azért ott volt a megdöbbenés. Ugyan a bemutatott példák nagy része sarkított helyzet, de a Schreiberrel készült interjúnkból is kiderült, hogy a legtöbb esetben még mindig a banálisnak mondható hibákat követnek el a felhasználók és a rendszergazdák. Az emberi hülyeség ellen nincs frissítés, a frissítések elmulasztása viszont emberi hülyeség. Vigyázat!
Sebastian Schreiber első pillantásra egy jól fésült, félénk kisfiú látszatát keltette és válaszaiban sem volt túl bőbeszédű. Ennek ellenére hamar bizonyította, hogy a hackerek igazán vicces és találékony emberek. A profizmus válaszaiban is érződött, a megfelelően diplomatikus kijelentésektől semmilyen csavart kérdés hatására nem volt hajlandó eltérni. Ez nem azt jelenti, hogy érdektelen válaszai voltak, de a témában felkészült emberről van szó.
SG.hu: Mi volt az első kapcsolatod a számítástechnikával? Sebastian S.: Jelentkeztem egy BASIC szakkörre 1984 januárjában.
SG.hu: Hogyan töltötted a gyermekkorodat? Mindig is hacker akartál lenni vagy valami más?
Sebastian S.: Gyermekként mindig lenyűgözött, hogy csalhatok a számítógépes játékokban.
SG.hu: Mivel foglalkoznak a szüleid?
Sebastian S.: Mindketten közalkalmazottak, bár mostmár nyugdíjasok. Édesapám bíróként dolgozott, ezért soha nem csúsztam le addig, hogy illegális dolgokat csináljak.
SG.hu: Milyen lépések vezettek ahhoz, hogy hacker, majd IT biztonsági guru legyen belőled?
Sebastian S.: A BASIC szakkör után számítástechnika tagozatra kerültem, ami főként matematikát jelentett, ezáltal egyenes út vezetett a tuebingeni egyetem számítástechnika szakára. Tanulmányaim alatt számos ösztöndíj programban részt vettem, például a HP-nál az Egyesült Államokban, majd 1998-ban megalapítottam a saját cégemet, a SySS-t.
SG.hu: Tündöklés, presztízs vagy pénz és karrier?
Sebastian S.: Egyik sem. A technikai vonzódásom volt a fő motiváció.
SG.hu: Volt valaha is példaképed, sokat számított a közösség?
Sebastian S.: Nem.
SG.hu: Mi volt az első komoly betörésed? Letartoztattak valaha, vagy kerültél szembe a törvénnyel?
Sebastian S.: Sosem volt gondom a törvénnyel, mivel valójában soha nem végeztem semmilyen illegális tevékenységet. Sosem végeztem hackelést leszámítva a szerződéses ügyfelek projektjeit. Sosem tekintettünk ellenségként a törvényre.
SG.hu: Legális hackeléseid során milyen ügyfeleid voltak? Volt valaki, akinek törhetetlen volt a rendszere?
Sebastian S.: Szinte mindenféle cég, webshopok, pénzintézetek, légitársaságok, szolgáltató cégek. Neveket nem mondhatok, ezt előírja a szerződés, de eddig mindössze egyetlen egy banknak a rendszere volt, ahol nem találtam biztonsági rést, a többi helyen mindenhol be tudtam jutni valahogyan.
SG.hu: Fel tudod törni a PGP-t?
Sebastian S.: (A néhány méterrel arrébb álldogálló Phil Zimmermannra pillant, s közben nevetve) Ááá, nem, dehogyis.
SG.hu: Jobban megéri biztonsági szakembernek lenni, mint rosszfiúnak? Az igazi kérdés: anyagilag mennyire kifizetődő a hackerség?
Sebastian S.: Nem tudjuk, hogy melyik nyereségesebb hosszútávon, de az biztos, hogy a mi módszerünk jóval kényelmesebb, nem kell félni.
SG.hu: Változott-e a hackerek mentalitása az évek során, van e még betyárbecsület, ha volt egyáltalán?
Sebastian S.: Mivel a magukat hackernek hívó emberek eléggé különbözőek, ezért nincs igazából elfogadott becsületbeli rendszer, habár azok a hackerek, akik jó programozók és valamely nagyobb IT biztonsági csoporthoz tartoznak keményen elítélik és támadják a kódlopást, illetve azokat a támadásokat, amik rendszerleállást, kiesést okoznak (pl.: D.o.S). SG.hu: Leginkább milyen biztonsági résekkel, problémákkal szembesülsz?
Sebastian S.: Ez természetesen függ a vizsgált projekttől, de általában a legegyszerűbb hibákat követik el a leggyakrabban, mint a gyenge jelszavak használata, illetve a rossz patchelési, frissítési politika. Ezek még mindig idegesítően gyakoriak.
SG.hu: Mi volt a leggyakoribb dolog, amivel megkeresték a cégedet az elmúlt évben?
Sebastian S.: Legtöbbször komplex analízist kell készítenünk web-alkalmazásokról, főként e-banking portálokról, webáruházakról.
SG.hu: Várható valami igazán nagy dolog az IT biztonság világában? Egyre jobb védelmek és egyre jobb hackerek vannak, ez örök körforgás?
Sebastian S.: Véleményem szerint három év múlva összeomlik az IT biztonság a világban. Biztosan újraosztódnak a lapok.
SG.hu: Mi a leghatékonyabb mód az emberi hülyeség csökkentésére?
Sebastian S.: Újra és újra ezt hangsúlyozom: növelni kell a biztonságra fodított figyelmet, képezni kell az embereket és elterjeszteni a szükséges tudást. Ez lehet a kulcs.
SG.hu: Írnak az antivírus cégek vírusokat?
Sebastian S.: Bármely cég, akit rajtakapnak ezen, másnap kint találja magát az üzleti világból és számtalan jogi következménnyel is szembe kell néznie. Mindenki, aki kiérdemli a "cég" nevet, az jobb, ha távol tartja magát ettől. Másrészt erre egyáltalán nincs is szükség, hiszen a vírusírók megosztják egymás közt a kódokat, így végtelen számú új vírust és variánst hoznak létre.
SG.hu: Veszélyesebbé teszi a világhálót a sok milliónyi kezdő internetező, vagy a fő érték nem az ő gépeiken van?
Sebastian S.: Egyrészről igaz, a végfelhasználók gépein lévő adatok komoly támadók számára teljesen értéktelenek. Másrészt ezek a gépek ha megfertőződnek és BotNET sejtekké válnak, akkor nagy mennyiségben igen komoly pénzt képesek hozni a spam és DoS támadások révén.
SG.hu: Játszol még számítógépes játékokkal? Esetleg társasjáték?
Sebastian S.: Egyáltalán nem, viszont havonta járok tollaslabdázni és minden héten röplabdázom.
SG.hu: Milyen készségek fontosak a szakmádban? Intelligencia, kreativitás, ügyesség? Tehetségesnek, szerencsésnek, szorgalmasnak vagy kitartónak tartod magad, hogy idáig jutottál?
Sebastian S.: Éppen ezek a tulajdonságok. A legjobb, ha ezek mindegyike egy egészséges kombinációban áll össze. Nem egyedül dolgozom és természetesen mindannyiunknak más képességei vannak.
SG.hu: Kikkel dolgozol együtt?
Sebastian S.: Leszámítva Laurát, az irodavezetőt, minden alkalmazott profi biztonsági szakértő és behatolástesztelő, különböző erősségekkel és gyengeségekkel. Tíz komolyan motivált profi biztonsági guru a lehető legjobb választék.
SG.hu: Mit gondolsz, egy közép-európai ország IT biztonsági stratégiájának miről kell szólnia 2006-ban, illetve azután?
Sebastian S.: A legfontosabb, hogy az állampolgárok minden adatát biztonságban, jól védett helyen tudják, illetve ellenállóvá kell tenni a hálózatokat a rosszindulatú hackerekkel szemben.
SG.hu: Ismersz magyar hackereket?
Sebastian S.: Attól félek, hogy nem. Ráadásul minden hacker csupán a becenevéről ismert, szóval nem derül ki, hogy melyik országból származik.
SG.hu: Mit jelent számodra Budapest és Magyarország?
Sebastian S.: Eddig öt alkalommal voltam már Budapesten és jártam még néhány más városban, például Egerben. Igazán tetszett maga a város, az emberek és természetesen az ételek. Már vannak barátaim is Magyarországon, akikkel nagyon szívesen találkozom.
SG.hu: Élő hackelést tartasz a világon mindenhol. Ez fricska a technikának, magamutogatás vagy önmegvalósítás?
Sebastian S.: Az élő hackelés egy biztonsági show bemutató szándékkal. Bármilyen közönségnek szólhat, általában mulatságos és növeli az érdeklődést a számítógépes biztonság iránt. Sebastian Schreiber - ahogyan a vele készült interjúnkból is kiderült - egy igazi jóindulatú fehér kalapos hacker. Legális céget alapított, és a cégek kérésére próbának teszi ki informatikai rendszerüket. Sebastian a leggyakoribb hibákból összeállított egy showt, melyet Budapesten is bemutatott. A bemutató célja valószínűleg a teremben ülő számos IT vezető felébresztése volt. Az unalmas előadásokon hiába szajkózza mindenki, hogy mennyire fontos a biztonság, hogy betörésekre kell számítani. A fiatalember viszont viccesen, vidáman, de meghökkentő egyszerűséggel mutatta be, hogy a mobiltelefontól az SSL-en át a Windows XP-ig semmi sincs biztonságban.
Az első bemutató egy Nokia 6310-es telefonnal zajlott. Sebastian szerint a trükk bármelyik Nokia telefonnal működik. A lényeg, hogy szükség van a bekapcsolt bluetoothra, illetve egy laptopra Bluetooth kapcsolattal. A keresés mindössze pár másodpercet vett igénybe és a teremben ahol körülbelül 100 ember ült, 15-20 bekapcsolt Bluetooth kapcsolatot detektált a hacker. Ezután saját C-ben írt programját elindítva néhány egyszerű parancs segítségével belépett egy készülékbe úgy, hogy annak a kijelzője mindössze néhány másodpercre villant fel. Ezután bármilyen adatot kinyerhetett belőle, sőt bármilyen műveletet elvégezhetett róla anélkül, hogy a kijelzőn bármi megjelent volna. Ennek prezentálására küldött is egy üzenetet az egyik résztvevő telefonjára. Elképesztő.
A következő trükk otthon is kipróbálható, egyszerű dolog. Hogyan szerezzünk a Google segítségével jelszavakat? Ez nagyon egyszerű. Semmi mást nem kell tenni, csupán le kell szűkíteni a keresést mondjuk .log kiterjesztésű fájlokra, és meg kell adni, hogy csak azokat jelenítse meg a találati listában, amiken belül megtalálható mondjuk a password szó. Erre a kombinációra jelenleg a Google 62 találatot ad ki. Természetesen ezek a log fileok már nincsenek az adott weblapon, de a Google miért ne tárolta volna el ezt is? Klikk a tárolt változatra. A parasztvakítás része itt kezdődik a dolognak, ugyanis egyrészt véletlenszerű, hogy hová tudunk jelszót szerezni, illetve ezek valószínűleg már megváltoztak a tárolás időpontja óta. Ellenben egy elvi lehetőség arra, hogy mire képes a webes kereső.
A harmadik áldozatnak Sebastian a webshopokat szemelte ki. Itt természetesen a cél az árak megváltoztatása lenne. Erre több verziót is ismer, a két legegyszerűbbet meg is mutatta nekünk. Az első kissé amatőr, de aranyos. Vannak olyan webshopok, ahol a "kosárba tesz" link tartalmazza az árat is és azt nem adatbázisból húzza elő a webbolt motor. Ilyenkor természetesen csak át kell írni az árat és már mehetünk is. Akár meg is rendelhetjük a kívánt terméket 1 euróért.
A második trükkhöz sincs szükség semmi komoly felkészültségre, csupán egy Internet Explorer pluginre. A HTML Source 2.0-ás változata képes egyrészt a php formokat megjeleníteni, illetve azon belül az értékeket meg is lehet változtatni. Amennyiben a webbolt motorja úgy van megírva, hogy ide olvassa be az árat és innentől már nem nyúl az adatbázishoz, akkor máris megrendelhetjük kedvenc szekrénysorunkat 10 Ft-ért. Amennyiben viszont jól megírt motorról van szó, akkor ezzel maximum csak viccelődni lehet.
Természetesen a Windows Xp, mint felület sem maradhat ki egy igazán igényes hacker palettájáról. Itt egy nem megfelelően frissített operációs rendszerrel trükközött Sebastian. Újfent saját készítésű programjának segítségével pillanatok alatt csatlakozott a hálózaton keresztül elért XP-hez, majd kezdésnek létrehozott egy alkönyvtárat a C: meghajtón. Semmi baj, gondoltuk. Ezután létrehozott egy felhasználói fiókot, ami még mindig nem olyan komoly fenyegetés, de mikor ugyanilyen nemes egyszerűséggel adott saját magának admin jogot, akkor szerintem mindenkinek egy kis gombóc lett a torkában, aki nem végezte el a frissítéseket a rá bízott hálózatokon.
Hatásvadász módjára pedig eljátszotta azt a trükköt is, amit anno gyerekként Windows 98-ok ellen mi is gyakran megtettünk. A nuke, azaz a rendszer működésképtelenné tétele manapság már nem olyan könnyű, ehhez is védtelen XP-re van szükség. A hacker a látvány kedvéért elkezdte pingelni a támadott XP-t, elénk tárta mind a két gép monitor képét is, és egy hosszú parancs után egy laza Enter leütésével kék halálra ítélte a támadott laptopot.
A trükközés utolsó részében következtek azok a támadások, amik kevésbé látványosak, kevésbé show szerűek, viszont a legkomolyabb fenyegetést jelentik. Hiába a feltörhetetlen kulcs, amit Phil Zimmermann is emleget folyton, ha a mi hackerünk nem is akarja már feltörni. Egyszerűen beáll a felhasználó és a szerver közé, elkapja az első adatcsomagot amit mondjuk a netbankja felé küldene, és a saját kulcsát küldi tovább, majd a banktól is ő kapja a visszajelzést, amit szintén a saját kulcsával helyettesít. Ezt a technológiát Man-in-the-middle, azaz ember középen támadásnak hívják és az igazi veszélye, hogy a felhasználónak esélye sincs arra, hogy észrevegye, hogy áldozatul esett egy ilyennek.
Gyakorlatilag egy ügyes hacker teljesen azonos képet varázsol a monitorra, mintha közvetlenül érnénk el a szolgáltatást. A szemléltetést először egy vicces dologgal kezdte, mégpedig az áldozati PC-n beírt www.volkswagen.hu weboldal helyére a Ford oldalát varázsolta úgy, hogy a címsorban továbbra is a VW oldala szerepelt. Később egy valós netbankon keresztül szemléltette, hogy mennyire egyszerűen el tudja lopni a beírt jelszót. Ennek birtokában pedig bármire képes.
Gondolom a trükköket még órákig tudta volna Sebastian prezentálni, de sajnos lejárt az ideje, bár azt gondolom, hogy ennyi is elég volt a megjelent fontos embereknek. Láttam a vezetők arcán hogy ugyan mosolyognak, mert a fiatalember humoros, szórakoztató formában adta elő a műsorát, de mindenkinek a szemében azért ott volt a megdöbbenés. Ugyan a bemutatott példák nagy része sarkított helyzet, de a Schreiberrel készült interjúnkból is kiderült, hogy a legtöbb esetben még mindig a banálisnak mondható hibákat követnek el a felhasználók és a rendszergazdák. Az emberi hülyeség ellen nincs frissítés, a frissítések elmulasztása viszont emberi hülyeség. Vigyázat!
szerintem