Hackerkézben a kávé is fegyver

2008.04.25. 18:21

Tudták, hogy a világ legszigorúbban őrzött irodaházain is nyugodtan végigsétálhat egy kávésbögrével a kezében? És azt, hogy ha nem kellően óvatos, tudtán kívül mások is használhatják otthoni drót nélküli hálózatát? A Netacademia szervezésében megrendezett első magyar Ethical Hacking konferencián ehhez hasonló kérdésekre kapott választ tudósítónk.

Az etikus hackelés mibenlétét Rajive Kapoor, a londoni székhelyű Security Systems Resource International igazgatója definiálta a résztvevőknek, nem annyira újdonságként, mint inkább ismétlésül. Etikus vagy fehér kalapos hackernek azokat a szakértőket hívják, akik számítástechnikai rendszerek tesztelésével és biztonsági tanácsadással foglalkoznak. Károkozás helyett a hibák felderítésével és befoltozásával foglalkoznak, szolgálataikat főleg cégek veszik igénybe. A fehér kalapos biztonsági szakember ellentéte a szabályokat be nem tartó szakértőtől a számítógépes bűnözőkig tartó, fekete kalapos hackereknek nevezett csoport.

Reklámlevél, zsarolás, lopás

A szakértő szerint a számítógépes bűnözők három fő módszerrel próbálnak pénzt szerezni. A reklámlevelek kiküldésével napjainkra már sajnos minden internetező találkozott, a fekete kalapos hackerek által uralt hálózatok milliószámra ömlesztik a felhasználók levelesládáiba a különböző gyógyszerekről, gyanúsan olcsó szoftverekről és egyéb csodákról szóló leveleket. Népszerű még a személyes adatok, bankkártyaszámok begyűjtése, amelyet később csalásokra felhasználható adatbázisként értékesítenek. Végül pedig a sikeres webes szolgáltatások tönkretétellel való megzsarolása is komoly profitot hozhat a hackereknek, annál is inkább, mert a jelenleg legjövedelmezőbb internetes üzletek - a pornográf tartalmak kiszolgálása és a szerencsejáték - mind olyanok, amikkel a hatóságok nem szívesen foglalkoznak.

A hiányos biztonságból származó adatvesztéseket és lopásokat ráadásul nem szeretik beismerni a cégek. Az amerikai Szövetségi Nyomozóiroda által végzett 2006-os jelentés szerint a cégek fele attól tart, hogy az ilyen esetek bevallása kártékony hatással lenne a részvényárra, 36%-uk attól tart, hogy versenytársai kihasználnák a helyzetet, majdnem egynegyedük pedig nem gondolta, hogy az ügye érdekelné a hatóságokat. Ezeket a statisztikákat ismerve különösen rémisztő, hogy mégis milyen volumenű adatvesztésekre derül fény, elég csak a brit királyi adó- és vámhivatal 25 millió főt érintő ballépésére gondolnunk.

Nemzetközi porondon

Kapoor felhívta arra a figyelmet, hogy nincs külön francia hackelés vagy magyar hackelés, a támadó programokat többnyire nem is honosítják, hiszen mire ez a munka elkészülne, úgyis idejétmúlttá válnak ezek a kódok. A rosszindulatú programokat terjesztő weboldalak a világ minden táján megtalálhatók, a támadó szándékú hackelés globális probléma. Ráadásul nem csupán a sztereotípiáknak megfelelő, ártó szándékú hackerektől kell tartani a felhasználónak, hiszen arra is volt már példa, hogy megbízhatónak tartott számítógép- és tartalomgyártók telepítettek megfigyelőprogramot vásárlóik számítógépeire.

Forrás: [origo]
Bárki hackelhet egy kicsit

Ezek közül a leghíresebb talán a Sony BMG húzása volt, a kiadó zenei CD-in nem csupán dalok kaptak helyet, hanem egy speciális másolásvédelmi program is, ami a lejátszáskor automatikusan települt is a felhasználó gépére. Azonban a Hewlett-Packard számítógépgyártónak is volt hasonló ügye, ők új masináikat szállították beépített megfigyelőprogrammal. Az ügy kiderültekor az akciót engedélyező igazgatóhelyettes többek közt azt nyilatkozta a sajtónak, hogy az ilyesmi teljesen megszokott az iparban.

Középen álló ember azt mond, amit akar

Az adatokban bővelkedő bevezető után a konferencia gyakorlati jelleget öltött. Több előadó is bemutatta, hogy közbeékelődős támadásokkal (man-in-the-middle), amelyek során a támadó a kommunikáló számítógépek közé ügyeskedve magát le tudja hallgatni a felek között zajló kommunikációt, mennyi információt lehet szerezni. Több ingyenesen elérhető hackelésre és biztonsági vizsgálatra egyaránt használható szoftver van, ami egyaránt segít a jófiúknak és a gazembereknek netes forgalmat eltéríteni, számítógépeket megtéveszteni és jelszavakat szerezni.

A legtöbb használatához nincs szükség biztonságtechnikai képzettségre, a dokumentáció elolvasása után bárki össze tud kattogni egy lehallgatós támadást az Ettercap nevű program segítségével. Az elfogott hálózati forgalom elemzésével pedig hasznos levelezési, chat- vagy éppen hálózati jelszavakat lehet megszerezni. Az igazán elszánt támadó pedig arra is képes, hogy a megtámadott gépeket az általa elkészített weboldalakra irányítsa a felhasználó által kértek helyett.

A biztonságos wifizés alapjai

A Netacademián oktató Baki Gábor azt bizonyította be sikerrel, hogy egy gondatlanul beállított drótnélküli internetkapcsolat segítségével minden lényeges adatunkat kiadhatjuk a hackereknek. A vezetékes kapcsolatok biztonságát ígérő, ám legendásan könnyen feltörhető WEP titkosítást a nézők szeme előtt törte fel ingyenes eszközökkel az előadó. Baki azt is bebizonyította, hogy az olyan széles körben alkalmazott trükkök, mint a hálózat nevének elrejtése, valamint a hálókártyák fizikai címe szerinti azonosítás sem állítanak meg egy elszánt behatolót. A tapasztalatlan felhasználók ellen talán hatásosnak bizonyulnak, ahogy az előadó fogalmazott, a szomszéd nagyapja ellen megvédik a hálózatot, azonban az unokák generációja már mosolyogva hatol át egy ilyen védelmen. Megoldásként  a jóval erősebb WPA2-es titkosítást ajánlotta az otthoni felhasználók figyelmébe a szakértő.

Semmit sem ér azonban az erős hálózat, ha a belépéshez használt jelszót másodpercek alatt fel lehet törni. Baki ellenjavallta a szótárban megtalálható szavak jelszóként való használatát, legyenek ezek bármilyen hosszúak. Arra is felhívta a figyelmet, hogy a modern kódtörő alkalmazások már azokat a jelszavakat is képesek kitalálni, amelyekben a magánhangzókat hasonló alakú számokra cserélték. Azaz a 0r1g0 semmivel sem lenne biztonságosabb, mint az origo szó. Az ideális wifijelszó rendkívül hosszú, hiszen minden számítógéppel csak egyszer kell megjegyeztetni, bőven tartalmaz írásjeleket. Ha azt akarjuk, hogy mégis könnyen megjegyezhető legyen, használjuk egyszerűen kedvenc versünk első pár sorát. - javasolta  a szakértő.

Hackelés kávéval és mobiltelefonnal

Forrás: [origo]
Be lehet épülni az irodába

A konferencia legjobb előadása Novák Zsolt, a Regulation Consulting auditorának nevéhez fűződik. Novák az emberi hiszékenység és segítőkészséget ügyesen kihasználó social engineering nevű technikáról beszélt. Azok a hackerek, akik ezt az utat követik, hosszas előtanulmányokat folytatnak a "feltörni" vágyott szervezetről, esetenként még a munkahely szakszavait, szlengjét is igyekeznek megtanulni, majd a személyzet figyelmetlenségét kihasználva egy óvatlan pillanatban bejutnak, és a cég saját gépeiről szerzik meg az eltulajdonítandó adatokat. Bár a trükk némi pszichológusi hajlamot, tökéletes színészi játékot és komoly lélekjelenlétet kíván, mégis kifizetődő.

Nem kell komoly színjátékra gondolni. Elég, ha az ügyes hacker munkakezdéskor vagy ebédkor sétál be, amikor a portás nem figyeli, hogy mindenkinek van-e belépőkártyája, és máris bejutott az épületbe. Az auditor szerint bármely irodaházon végig lehet sétálni, ha az ember kellően fontosnak tűnik, például folyamatosan beszél, lehetőleg idegen nyelven mobiltelefonján. Hasonlóan hasznos stratégia egy pohár kávé beszerzése az első útba eső konyhában, hiszen aki pohárral közlekedik, az biztosan helyi alkalmazott, igaz? És mivel az emberek hajlamosak a jót feltételezni, szívesen válaszolnak az új kollégának tűnő személy pár kérdésére arról, hogyan lehet elérni a megosztott meghajtókat vagy éppen a vállalati levelezést. Ha elég meggyőző a szakember fellépése, akár főnöknek is tűnhet - kezdte el egyik anekdotáját Novák Zsolt -, egyik kollégája még arra is képes volt, hogy türelmetlenül az óráját vizslatva egy szó nélkül kiüríttesse az átvizsgálni kívánt tárgyalótermet.

Nem csupán a gyanúsan viselkedő idegenekkel, az ismeretlen "új munkatársakkal" kell bizalmatlannak lennünk, ha munkahelyi adatokról van szó, tette hozzá az auditor. A napjainkban gyakori adathalász támadások is az emberi hiszékenységet és félelmet használják ki. Azonban ha megtanítjuk a felhasználókat, hogy kellő kétellyel kezeljék a direkt utasításokat tartalmazó, kényelmetlen következményekkel fenyegető leveleket, vagy amelyek név helyett csupán valami általános megszólítást tartalmaznak, máris nagyot léptünk előre a biztonság útján.

Szkriptkölyök-képző

Az előadók által a bemutatón használt programok nagy része ingyenesen hozzáférhető, szabadon letölthető, jóra és rosszra egyaránt használható hálózati segédprogram. Egy részükkel jobban járnak a Linuxot használók, hiszen erre mindig a legfrissebb verziók érhetőek el, míg Windows és Mac OS X rendszerekre kis késéssel érkeznek meg ezek a szoftverek, ám tanulásra egy régebbi verzió is alkalmas lehet. A több előadó által használt Ettercap hálózatdiagnosztikai segédprogram és a Wireshark csomagelemző minden hálózatról tanulni vágyó nethasználó szerszámosládájában helyet kell hogy kapjon, a wifi hotspotok vizsgálatára pedig a NetStumbler-t ajánljuk. Az ehhez tartozó kötelező olvasmány a programok többnyire csak angolul elérhető dokumentációja mellett természetesen a Netacademia Tudástára.

Szedlák Ádám

KAPCSOLÓDÓ CIKKEK