Program
Ács György
Okleveles villamosmérnök. A Budapesti Műszaki Egyetemen a doktoranduszi tanulmányait 1996-ban fejezte be. Utána 1999-ig az Ericsson Magyarország kft.-nél rendszermérnökként dolgozott és főként adatátviteli illetve hang- adatintegrációs termékkel, megoldásokkal foglalkozott.
1999-től a Cisco Systems Magyarország kft.-nél előbb az adat- és hangintegrációs, IP telefónia, később a hálózati biztonsági megoldásokért felelős rendszermérnök, 2005-től konzultáns rendszermérnök, 2008-tól Közép-Európáért felelős regionális IT biztonsági konzultáns. Számos hálózatbiztonsági projektben vett részt tervezőként, műszaki konzultánsként.
Lehallgatás és társai – layer 2 biztonság
Az egyik legveszélyesebb támadási módszer az adatkapcsolati rétegre (layer 2) épülő támadások. Ha ez a réteg sérül, akkor nagyon nehéz az OSI réteg felsőbb rétegeit megvédeni.
Az előadás bemutatja, milyen adatkapcsolati szintű veszélyek léteznek, és hogyan lehet ellenük védekezni. Részletesen elemezzük, hogyan válik lehallgathatóvá egy layer 2 kapcsolt ethernet hálózat és milyen módszerek vannak a támadások kivédésre.
Elmagyarázzuk, hogy alapvetően hogyan működnek a ma használt kapcsolt ethernetes hálózatok, mik azok a virtuális helyi hálózatok (VLAN-ok), hogyan lehet ezeket támadni. Az egyes támadási eljárásokra (MAC, ARP, DHCP alapú támadások) megnézzük, milyen módszerekkel lehet védekezni. Külön foglalkozunk a Spanning Tree alapú támadási módszerekkel.
Az előadáson rövid demonstráció mutatja be a leggyakrabban használt támadásokat.
Alexin Zoltán
Alexin Zoltán 1985-ben szerzett diplomát a Szegedi József Attila Tudományegyetem matematikus szakán. Végzés után az MTA-JATE Automataelméleti Kutatócsoportban, majd később a Szegedi Tudományegyetem, TTK, Alkalmazott Informatikai Tanszékén, később a Szoftverfejlesztés Tanszéken dolgozott. Ma a 2008 óta már Természettudományi és Informatikai Kar, Szoftverfejlesztés Tanszéken adjunktus. Kutatási témái között kezdetben az automataelmélet, ezen belül is a fordítóprogramok elmélete, attribútum nyelvtanok, majd logikai programozás, logikai programok tanulása, számítógépes tanulás szerepelt. 1998 óta foglalkozik számítógépen nyelvészettel, információkinyeréssel, számítógépes nyelvészettel segített adatbányászattal, és természetesen ilyen témájú K+F projektek irányításával. 2003-ban PhD. fokozatot szerzett a Szegedi Tudományegyetemen tanulóalgoritmusok természetes nyelvi feladatokra történő alkalmazása témakörben. 2004 óta foglalkozik adatvédelemmel, azon belül is kifejezetten az egészségügyi adatok védelmével. 2006-ban meghívott szakértőként részt vett az Európai Bizottság által támogatott EuroSOCAP (Development of European Standards On Confidentiality And Privacy In Healthcare Among Vulnerable Patient Populations) kutatási projektben, 2007-ben pedig meghívták a The European Privacy Institute (http://www.privacyinstitute.eu) projekt tudományos tanácsadó testületébe; a 2009. január 1-jétől a Dél-Alföldi Regionális Humán Orvosbiológiai Kutatásetikai Bizottság tagja.
Az egészségügyi adatvédelem jogi problémái
Kulcsszavak: adatvédelem, különleges személyes adatok, információs önrendelkezés, az Emberi Jogok Európai Egyezménye
A magyar adatvédelmi törvény két esetben teszi lehetővé személyes adat kezelését: ha egy hatályos magyar törvény elrendeli, vagy pedig ha az érintett a hozzájárulását adja. Tekintettel arra, hogy az Alkotmány az egyéni önrendelkezés korlátozását (a személyes adatok védelméhez fűződő alapvető jog korlátozását) csak kivételes esetben és fontos társadalmi érdekből engedi meg – egyébként az adatkezelés önkéntes hozzájáruláson alapulhat csak – érdemes megvizsgálni azt a kérdést, hogy a személyes, testi- és lelki egészségre, állapotra vonatkozó különleges személyes adatok kezelésének milyen jogalapja van, és mi lehet az állam szerepe a kényszerintézkedések elrendelésekor.
A magyar jogszabályok egyáltalán nem egyértelműek abban a tekintetben, hogy az egészségügyben melyik esetet kell alkalmazni. A helyzet tisztázására született jogerős ítélet alátámasztja azt, hogy a nem egyértelmű jogi szabályozást jelenleg úgy működtetik, hogy az az állampolgárok számára kényszerintézkedést jelent. Ma az orvosnál megjelenő beteg adatkezelése azonos módon történik, mint egy sorozatgyilkos adatkezelése, azzal a különbséggel, hogy a kényszerintézkedés mibenlétéről még tájékoztatást sem kap az érintett. Van-e erre megfelelő indok? Hogyan van ez más országokban?
Balázs Zoltán
Balázs Zoltán a Budapesti Műszaki és Gazdaságtudományi Egyetemen szerzett műszaki informatikus diplomát, Infokommunikációs Rendszerek Biztonsága szakirányon. Rövid ideig a Citigroup Threat Assesment Centerben nyújtott támogatást tűzfal, IDS, vírusvédelem témákban. Azóta az Erste Banknál dolgozik, ahol főbb szakterületei az adatbázis biztonság, biztonsági felügyelet és az etikus hackelés. CISSP, CPTS minősítésekkel rendelkezik. Hobbiként szeret wargame oldalakon játszani vagy wargame pályákat írni.
M&M's: Maffia & malwares
Az előadás első része egy netbank bejelentkezési információk gyűjtésére specializálódott rosszindulatú kód (Sinowal) bemutatásáról szól, kiemelve a technikai újdonságokat és érdekességeket, különös tekintettel az MBR rootkit funkcióra. Szó lesz a fast flux, double flux és domain flux technológiákról, majd bemutatásra kerül, amint egy patchelt, vírusvédelemmel ellátott, de Sinowal-al fertőzött gép miként alkalmazza a "Malware in the browser" támadást egy Extended Validation SSL tanúsítvánnyal rendelkező banki oldal esetén. Az első részt hatékony és kevésbé hatékony netbankolási tanácsok zárják. Az előadás második része a 2009 elején médiában felkapott, ATM pénzkiadó automatákat támadó, PIN kód visszafejtésére alkalmas rosszindulatú kód funkcionalitását mutatja be. Rövid ismertetésre kerül az ATM rendszerek biztonsági architektúrája, a PIN kód megszerzésére alkalmas szoftveres támadások, illetve gyakori biztonsági hiányosságok ATM környezetben. Végül az orosz "hacker popkultúra", orosz eredetű rosszindulatú kódok és az orosz szervezett bűnözés kapcsolata zárja az előadást.
Barta Csaba
Barta Csaba 2005-ben szerzett kiváló minősítésű diplomát a Budapesti Műszaki Főiskola Neumann János Informatikai Főiskolai karának műszaki informatikai szakán. A főiskolai évek alatt a Novell Professional Services Hungary Kft-nél rendszermérnöki munkakörben szerzett gyakorlati tapasztalatokat kiterjedt számítógépes hálózatok adminisztrálása és vírusvédelmének tervezése és üzemeletetése kapcsán. 2005-től az OTP Bank NyRt-nél az Információ-Biztonsági Főosztályon dolgozott, mint fejlesztő, majd később ez a munkakör kibővült a belső alkalmazások biztonsági teszteléssével. 2007 óta a PricewaterhouseCoopers Kft-nél dolgozik, mint vezető tanácsadó. Fő területei közé tartozik a webalkalmazások és bináris alkalmazások biztonsági tesztelése, külső és belső betörési tesztek és sérülékenységvizsgálatok tervezése és végrehajtása illetve a computer forensics vizsgálatok és az incidens reagálás. Hobbija a szoftverbiztonság területén végzett kutatás fejlesztés elsősorban automatizált sérülékenység felderítéssel és computer forensics-el kapcsolatban.
Rootkitek
Az előadás az első pár dia keretében egy rövid ismertetőt ad a rootkitek eddig történetéről majd a felhasználói és kernel módban működő rootkitek lehetőségeiről, a két terület előnyeiről és hátrányairól. A továbbiakban a kernel módban működő, elsősorban Microsoft Windows operációs rendszereken használatos technikák részletes elméleti és gyakorlati bemutatására helyezi a hangsúlyt. Az élő bemutatók során egy saját fejlesztésű rootkitet láthat a közönség, amely a mostanság, illetve a közeljövőben leginkább használt Windows verziók mindegyikén működőképes. A rootkit a jelenlegi állapotában képes folyamatok, állományok és könyvtárak elrejtésére, a billentyűleütések naplózására és egy sor új, saját fejlesztésű funkcióra, amelyek segítségvel a támadó elrejtheti jelenlétét a rendszeren, bizonyos esetekben akár egy felületesebb forensic vizsgálat elől is. Az eszköz beépítve tartalmaz olyan funkciókat is, amelyek elsősorban computer forensics területen használatosak, de a támadónak is hasznára válhatnak a feltört rendszer későbbi használata, megfigyelése során.
Biró László Miklós
Biró László Miklós 1972-ben szerezte meg a mûszaki tanári diplomát. A Telefongyár Mûszer osztályán dolgozott, majd 1974-ben váltott számítástechnikára. Elsõdlegesen mainframe és midrange rendszerekkel foglalkozott, mind programozói, mind rendszerprogramozói, mind pedig hardver üzemeltetõi szerepkörökben. Az adatátviteli hálózatok kialakulása után az ezen eszközök köré épült rendszerek megbízhatósági és biztonsági problémáit vizsgálta, különös tekintettel a mérés-adatgyûjtési és telemechanikai rendszerek az internetes technológióba való integrálásának lehetõségeivel és következményeivel. Kedvenc témája a határterületek vizsgálata, ahol a szomszédos szakterületek nem megfelelõ kapcsolódása biztonsági, üzembiztonsági problémák forrása lehet. 1997-ben CISA, 2004-ben CISM és 2009-ben CGEIT minõsítést szerzett.
Régi-új veszélyforrás: a soros port
Adatfeldolgozó környezetben a soros port használata gyakorlatilag néhány speciális alkalmazásra korlátozódik, olyanokra, mint például hálózati eszközök adminisztrációja, vagy UPS rendszerek távfelügyelete. A munkaállomásokon - ha van is soros pont – nincs használatban, elfelejtõdött. A biztonsági eszközök sem fókuszálnak a soros portra, mert használata nehézkes.
Az ipari környezetben más a helyzet: a hosszú életciklusra tervezett mérés-adatgyûjtõ és folyamatirányító rendszerekben továbbra is fontos szerepe van a soros portnak, és mivel a korlátozott jel-elvezetési távolság vagy a modem használata ott is problémát okoz, komoly eszközök születtek a soros port kommunikációjának készülékcsere nélküli megkönnyítésére. Ezek a berendezések úgy lettek kialakítva, hogy az általuk áthidalható távolság 100 – 1000 méter között lehet.
Mi történik, ha egy munkaállomásra csatlakoztatnak egy ilyen készüléket? Mivel semmiféle konfigurálást nem igényelnek, azonnal használhatók. Különleges drivert sem igényelnek, így az installálást nem igénylõ programokkal is mûködtethetõk. A régi, jól bevált programok, mint például a KERMIT, a PROCOMM vagy a LapLink azonnal készek gép-gép kapcsolat létrehozására. Ha a gépre telepített rendszer nem engedélyezné ezek futtatását, akkor bármilyen “live” verzióval elindíthatók – nyomtalanul.
Használatukkal megkerülhető a lokális hálózat védelme és működésük jó eséllyel rejtve marad a rendszerfelügyelet előtt.
Bodó Balázs
Bodó Balázs, közgazdász , kalózkutató. Az elmúlt éveken, minden időmet annak szenteltem, hogy megértsem a szerzői jogot. Arra gondoltam, ezt a legizgalmasabb azoknak az embereknek a történetein keresztül megtenni, akik konfliktusba keveredtek a szerzői jogi szabályokkal, jogosulti érdekekkel. Így kezdtem el copyright kalózokkal foglalkozni. Meg tengeri kalózokkal. Meg hackerekkel. Az internetes kultúra egyik legmeghatározóbb, és itthon legkevésbé ismert alakja, Stewart Brand azt mondta egyszer a hackerekről: „Azt hiszem, hogy a hackerek az amerikai alkotmány megalkotói óta a legérdekesebb és leghatékonyabb értelmiségi társaság. Egyetlen, általam ismert csoport sem vágott bele egy technológia felszabadításába sikerrel. Nem elég, hogy sikerrel jártak a nagyvállalati Amerika ellenében, de azt is elérték, hogy a sikerük nyomán a nagyvállalati Amerika kénytelen volt alkalmazkodni a módszereikhez. A személyi számítógépek segítségével sikerült az Információs Kort újraszervezniük az egyén körül, és ezzel könnyen lehet, hogy megmentették az amerikai gazdaságot. Mára a fejlett technológia van a tömegek kezében ahelyett, hogy ők lennének a technológiának kiszolgáltatva. A 60-as évek legcsendesebb szub-szubkultúrája bizonyult a leginnovatívabbnak és leghatalmasabbnak, - és a leggyanakvóbbnak a hatalommal szemben". Nagyjából ezt gondolom én a kalózokról.
Mozik és torrentek
Lakatos Zoltán (ELTE) és Bodó Balázs (BME MOKK)
BME Média Oktató és Kutató Központja az elmúlt évben kutatást végzett a letöltések gazdasági hatásairól. Azt tűztük ki célul, hogy megnézzük, a bittorrent alapú filmletöltés milyen hatással van a mozipiacra.
Mit találtunk?
Az elemzés során azt vizsgáltuk, hogy 2008 májusa és júniusa között milyen összefüggés van egy film letöltésinek száma, és egyes moziforgalmazási adatok között.
* a letöltött filmek 3%-ra igaz az, hogy egyszerre ment moziban és volt elérhető a trackereken.
* a letöltött filmek háromnegyedét nem játszották moziban 2004 után.
* az ismert lakhelyű torrentezők harmada olyan településen él, ahol nincs mozi.
* nem találtunk semmiféle összefüggést a letöltések száma és az eladott mozijegyek között. Semmit. Sem pozitív, sem negatív kapcsolat nincs a két változó között. Azaz, ha minden igaz, nem áll az a mondás, hogy egy letöltés = egy elmaradt mozilátogatás, de az sem, hogy amit sokan letöltenek, azt majd sokan meg is nézik.
* a filmek induló kópiaszáma a legfontosabb tényező, ami eldönti, hogy egy film felkerül-e a moziforgalmazással egy időben a fájlcserélőkre. A kevés kópiával induló filmek (azaz az alacsony marketing-költségvetéssel forgalmazott alkotások: művészfilmek, magyar filmek, rétegfilmek, régebbi alkotások) nem vagy csak a moziforgalmazást követő időszakban (a dvd megjelenéssel egy időben) lesznek online is elérhetők.
Hogyan tovább?
A mostani kutatás csak 2008 áprilisa és júniusa közötti időszakot elemzi szeretnénk kiterjeszteni az elemzést az egész évre. Szeretnénk az elemzésbe új dimenziókat bevonni, és a mozi-statisztikák mellett a DVD forgalmazási és (online) videotékás adatokat is bevonni az elemzésbe. Szeretnénk más protokollokat is megnézni.
Bucsay Balázs
Bucsay Balázs 2009-ben szerzett oklevet a Miskolci Egyetem, Programtervező Informatikus BSc szakán. Tanulmányait ezen évtől tovább a Debreceni Egyetem, Matematikus MSc szakán fogja folytatni. Több mint egy éve dolgozik a PR-Audit Kft.-nél, mint információbiztonsági konzulens.
Az IT Security vonzatával 8 éve foglalkozik, alkot benne. További információk: http://www.rycon.hu
GI John.
Előadásom a biztonságtechnikai körökben méltán híres John The Ripper jelszótörő program elosztott patch-éről fog szólni. Ez a patch, megvalósítás a világon teljesen egyedi jelszó törés szempontjából. Bár rengeteg hasonló, témakört érintő programot esetlegesen patchet is kidobtak a piacra vagy csak szimplán a publikum számára, ez mégis sok minden más oldalról ígyis egyedül álló maradni. Pár mondat a megvalósításról: A rendszer webes felületen managelhető, a felhasználók regisztrálnak és beállnak a grid rendszerébe, majd a magtól kapott adatokat feldolgozva azoknak az eredményét visszajuttatva pontozásra kerülnek. A pontozás igazságos rendszeren alapul. Elégséges ponttal rendelkezve a felhasználó saját jelszavakat, jelszó listákat törethet a grid-el/grid-en, esetlegesen prioritást is vehet, ezzel gyorsabban eredményhez jutva.
Pár kérdés:
- mennyire is biztonságos egy kriptográfiai hash algoritmus?
- kell-e félni attól, hogy holnap feltörik-e a jelszavam?
Technikai, megvalósítási és elméleti részletek az előadáson.
VSZA_Buherátor
Veres-Szentkirályi András 2009 decemberében szerzi meg diplomáját a BME-VIK mérnök informatikus BSc képzésén, informatikai technológiák szakirányon, rendszerfejlesztés ágazaton. Egyetemi tanulmányai mellett szoftverfejlesztéssel, IT biztonsággal és hardverhackeléssel foglalkozik, az ezek közötti átfedések érdeklik a legjobban (biztonságos szoftverfejlesztés, támadó és védelmi célhardverek, firmware fejlesztés). 2004 óta részt vesz a Hacktivity rendezvényeken (2004-2005 wargame győztes), 2008-ban előadóként bemutatta saját fejlesztésű MD5 törő célhardverét Xilinx FPGA alapokon. Eddig szabadúszóként dolgozott az IT biztonság területén, jelenleg egy indulófélben lévő magyar IT-Security startup alapító tagjaként tevékenykedik.
Buherátor a 2009-es Goldenblog kategóriagyőztes BuheraBlog írója. Az első, tatabányai rendezvény óta résztvevője a Hacktivity konferenciának, első előadását 2008-ban tartotta. Céljának tekinti a magyarországi hacker közösség összefogását és a szubkultúra megismertetését a szélesebb nyilvánossággal is. Ezek mellet elsősorban webalkalmazások biztonságával foglalkozik, és kiemelt figyelmet szentel a különböző hálózati protokollok biztonsági kérdéseinek is.
A hype és ami mögötte van
Az elmúlt egy évben jónéhány alkalommal felröppent a hír: kritikus hibákat fedeztek fel az Internet alapvető protokolljaiban, nincs többé biztonságos e-kereskedelem, a gonosz hackerek minden adatukat lehallgathatják! Azóta persze az élet megy tovább, az online pénzügyi szolgáltatások is zavartalanul üzemelnek - hiába, pánikkeltésre mindig van igény, a valóság viszont legtöbbször túlzottan száraz az egyszeri felhasználó számára.
Előadásunkban szeretnénk objektív képet adni arról, hogy milyen valós problémák fenyegetik az online világ infrastruktúrájának egészét, és melyek azok a módszerek, amelyek csupán jó marketingjüknek köszönhetően kerültek be a köztudatba. Rámutatunk, hogy sok, nagy nyilvánosságot kapott probléma kellő odafigyeléssel, illetve a megfelelő eszközök használatával kiküszöbölhető, de szót ejtünk arról is, hogy az elmúlt időszakban több olyan, a mindennapi kommunikációnk alapjait érintő veszélyforrás került újra felszínre, melyek miharabbi megoldása kulcskérdés lesz az elkövetkező években. Bemutatjuk, hogy az Internet születésének idejében bevált, a "nagy öregek" közti bizalomra alapozott megoldások hogyan váltak mára biztonsági kihívássá. Nem megyünk el szó nélkül amellett sem, hogy napjaink informatikai rendszereiben - azok bonyolultságából adódóan - még ma is találnak új, meglepő hiányosságokat. Általános informatikai ismeretekkel rendelkezők számára is érthető módon kívánjuk bemutatni egyebek mellett a BGP, TCP és DNS protokollokkal kapcsolatban felmerült problémákat, és természetesen nem feledkezünk meg az SSL-lel kapcsolatban történtekről sem.
Pierre-Marc Bureau
Senior Researcher
Pierre-Marc Bureau is senior malware researcher at antivirus company ESET. In his position, he is responsible of identifying new trends in malware and finding effective techniques to counter these threats. Prior to joining ESET, Pierre-Marc Bureau worked for a network security company where he was senior security analyst. Pierre-Marc Bureau finished his Master degree in computer engineering at Ecole Polytechnique of Montreal in 2006. His studies focused mainly on the performance evaluation of malware. He has presented at various international conferences including CARO Workshop, Virus Bulletin, Recon, and InfoSec Paris. His main interests lie in reverse engineering, software and network security.
10 things you can learn from malware
For many years, malware have been considered as redundant and uninteresting to most security researchers. In recent years, malware has become much more prevalent and fascinating. Since malware authors are now aiming at monetary profit, they have resources to hire skilled programmers to write sophisticated malware that are stealthy and innovative. In this presentation, we give an overview of tricks we have recently observed in malware. Amongst other things, we will discuss exploitation techniques used against the latest vulnerabilities in Microsoft and Adobe products, software protection scheme deployed in malicious software, and peer-to-peer network architecture used by major malware families such as Storm, Waledac, and Conficker.
Dr. Dudás Ágnes
Dr. Dudás Ágnes közel 10 éve foglalkozik szoftverjogi kérdésekkel. Az ELTE Állam- és Jogtudományi Karán végzett, „A szoftverek szerzői jogi oltalma” c. szakdolgozatával elnyerte az Apáthy-díjat. 2007-ben a Magyar Szabadalmi Hivatalban „felsőfokú iparjogvédelmi szakjogász” képesítést szerzett. Szoftverjoggal kapcsolatos tanulmányokat folytatott Berlinben a Humboldt Egyetem Jogi Karán és kutatásokat végzett Münchenben. 2003. óta a Pécsi Tudományegyetem PhD hallgatója, jogi informatika szakirányon. Számos publikációja jelent meg mind az interneten, mind a nyomtatott sajtóban. Közel másfél éven át vezette a fix.tv informatikai műsorának, a Kreatív Klubnak „Jogos” rovatát. 2008. őszén nyitotta meg saját irodáját, melyben jelenleg is tevékenykedik. Bővebben és részletesebben: www.drdudas.hu
A vékony jégen történő táncolás alapszabályairól… azaz milyen jogi fondorlatokra figyeljünk a hackelés kapcsán?
1. Útmutató hackereknek
Nagyon vékony a határ, amely elválasztja a jogos „hackelést” a „számítástechnikai rendszer és adatok elleni bűncselekmény”-től. Ez a határ egy varázsszó, amely úgy hangzik: „jogosulatlanul”. Amennyiben ugyanis valaki egy számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával engedély nélkül lép be, az ott kifejtett tevékenység függvényében akár 10 év szabadságvesztéssel is büntethető.
Természetesen a helyzet nem ennyire sarkos, hogy ha a megbízás elfogadása nem úgy történik, ahogy azt a Mátrixban láttuk. (Megjelennek átveszik az anyagot, kifizetik a pénzt), hanem a felek egymással előre (nem pedig mikor már hetek óta törik a rendszert) szerződést kötnek. A szerződés írásbafoglalása elvileg nem törvény által előírt követelmény, azonban vita esetén a legerősebb bizonyíték lehet, tehát ettől eltekinteni nem ajánlatos.
A szerződés tartalmazza a megbízás pontos határait: Mi a vizsgált terület? Lehet-e nontechnical megoldásokat is bevetni? Ha igen, ki kell-e adni, hogy ki volt az informátor? Milyen adatok megszerzése a cél? Van-e támpont (pl. adott szerveren kell keresni)? Milyen mélységű vizsgálatot kérnek? Miben mérik a díjazást (órák, talált rések, feltárt kritikus hibák száma)?
2. Útmutató megbízóknak
A megbízónak szintén érdeke, hogy szerződésben rögzítse a tesztelés határait. Itt elsődleges cél egyrészt a titoktartás és másrészt az esetleges veszteség minimalizálása. Tehát törekedjen arra, hogy nagyon szigorú titoktartási szabályokat iktasson be. És lehetőség szerint ne éles rendszeren teszteltessen vagy ha éles rendszeren teszteltet, készíttessen mentést a „kísérlet”-et megelőzően, illetve annak folyamán.
3. Útmutató mindkét félnek
A legfontosabb pontja a sikeres együttműködésnek a kommunikáció. Ehhez a szerződésben rögzíteni kell a kapcsolattartókat, kritikus munka esetében pedig azt a személyt, aki éjjel-nappal hívható és döntési jogkörrel rendelkezik. Rögzíteni kell a határidőket és rögzíteni kell, hogy ki, milyen feltételek mellett változtathat a projekt feladatán.
Dr. Ormós Zoltán
ügyvéd, az Ormós Ügyvédi Iroda vezetője
Az Ormós Ügyvédi Iroda megalapítása előtt közel négy évig a Köves és Társai Clifford Chance Ügyvédi Iroda munkatársaként kezdett el foglalkozni az infokommunikációs jog számos részterületével, így a médiajoggal, távközlési jog szabályozási aspektusaival, szoftverekkel kapcsolatos szerzői jogi problémákkal. Az említett nemzetközi ügyvédi iroda londoni központjában is a Media, Computers, Communications osztályon volt cserejogász. A Business Software Alliance-nek végzett munkák hamar ismertté tették nevét a szakmában. 2000-ben megalapította az Ormós Ügyvédi Irodát, mely az informatikai-távközlési szakterületre koncentráló jogi tanácsadási tevékenység Magyarországon elsőként alkalmazott sikeres koncepciójára építve nemzetközi összehasonlításban is számottevő elméleti tudást és gyakorlati tapasztalatot halmozott fel az informatikai jog, a távközlési jog, valamint a szerzői jog területén. Megbízói körébe nemcsak az infokommunikációs szektor vezető szereplői tartoznak, hanem a "régi gazdaság" prominens képviselői is.
Tevékenysége elismeréseként az iroda vezető ügyvédje előadóként meghívást kapott - a kelet-európai régió egyedüli képviselőjeként - az Informatikai Jogászok Egyesületeinek Nemzetközi Szövetségének berlini világkonferenciájára.
A hackelés jogi háttere és kapcsolódó jogi esetek bemutatása
Az, hogy a hacker tevékenysége jogellenes-e és milyen jogkövetkezményekkel számolhat, nagyban függ attól, hogy a világ melyik részén él. Nagyban függ attól is, hogy milyen rendszerbe tört be, és ott pontosan mit tett.
Hazánkban a hacker bűncselekményt követ el, ha számítástechnikai rendszerbe betör, az abban tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, vagy ha a számítástechnikai rendszer működését jogosulatlanul akadályozza. De az is bűncselekményt követ el, aki ennek elkövetése céljából az ehhez szükséges vagy ezt könnyítő számítástechnikai programot, jelszót, belépési kódot, vagy a rendszerbe való belépést lehetővé tevő adatot készít, megszerez, forgalomba hoz, azzal kereskedik, vagy más módon hozzáférhetővé tesz. A szankció helyzettől függően akár tíz évig terjedő szabadságvesztés is lehet.
De a hacker adott esetben akár más bűncselekményért is felelősségre vonható lehet. Gyakran felmerül csalás, levéltitok megsértése, gazdasági titok megsértése, közérdekű üzem megzavarása, de számtalan más bűncselekmény is. A hacker ezen túl az okozott károkért is teljes polgári jogi felelősséggel tartozik.
A gyakorlatban a felelősségre vonás sokszor akadályokba ütközik. Sokszor maga a „betörés” is nyomtalanul történik, arra fény sem derül. De ha fény is derül az esetre, sokszor nem bizonyítható az elkövető személye. Ha a betörés „határokon át” történt, a nyomozás, a bizonyítás gyakran nehézkessé válik. A jogalkotó ezért számos eszközzel próbálja segíteni a nyomozók, bírák munkáját: könnyíteni a nemzetközi jogsegély eljárását, gondoskodni a felderítéshez, a bizonyításhoz szükséges adatok rendelkezésre állásáról.
Az előadásban a jogi hátteret, az eljárási kérdéseket és válaszokat mutatjuk be, konkrét jogeseteket is bemutatva.
Gál Tamás és Soczó Zsolt
1996 óta üzemeltet Windows szervereket, vállalkozása több cég informatikai rendszerének gazdája illetve konzultánsa. Rendszergazda, informatikai vezető, tréner, illetve 2007 január óta a Microsoft Magyarország alkalmazásában, a TechNet program szakmai vezetőjeként is tevékenykedik. Ez utóbbi minőségében a hazai Microsoft konferenciák, események, screen- és webcastok állandó előadója, offline és online szakmai anyagok szerzője.
Szakvizsgáit tekintve MCSA / MCSE / MCTS / MCITP SA/EA, valamint Security és Messaging pluszképesítésekkel is rendelkezik illetve okleveles Microsoft tréner (MCT). 2004 január óta - Magyarországon az első körben - MVP (Most Valuable Professional), azaz a Microsoft Corporation szakmai díjazottja. Oktat és előad rendszergazda képzéseken, tanfolyamokon (NetAcademia, IQJB), konferenciákon, oktatási anyagokat és (tan)könyveket készít, rendszeresen publikál szakfolyóiratokban. Az NJSZT és az 1LET tagja, utóbbi alapító és elnökségi tagja is. Kedvenc szakterületei közé tartozik az ISA Server / Forefront termékek, a WSUS, az AD, a Windows Server OS-ek, valamint a béta szoftverek.
37 éves, nős, angol-történelem szakos középiskolai tanár feleségével valamint öt (ebből 4 egyetemista, ebből 3 iker :D) gyermekével Cegléden él.
Soczó Zsolt 1999-ben végzett a Budapesti Műszaki Egyetem Villamosmérnöki és Informatikai Kar villamosmérnöki szakán, számítógépek rendszer- és alkalmazástechnikája szakirányon. Azóta programozott, rendszereket tervezett, közel ezer embert oktatott Windows alapú alkalmazásfejlesztésre. Volt MCSE, jelenleg MCSD, MCDBA és SQL Server MVP. Az utóbbi időben a Windows belső felépítését tanulmányozza, köszönhetően, hogy az MVP címmel böngészheti a Windowsok forráskódját. Bő fél éve saját vállalkozásában Microsoft alapú fejlesztések szakértőjeként tevékenykedik, illetve Quantitative Trading alapú jövőjét és korai nyugdíjazását alapozza.
1. rész A VPN halála?
Nincs értelme vitatni azt a tényt, hogy napjainkban a vállalati hálózat távoli elérése alapszükséglet a felhasználók és az üzemeltetők szempontjából egyaránt. A jól ismert - ám biztonsági, felügyeleti illetve alkalmazási hiányosságokkal rendelkező - módszerek mellett most egy merőben új felfogású megoldás lép a színre, azaz a Windows 7 / Windows Server 2008 R2 párossal érkezik egy olyan új technológia, ami ténylegesen és alapjaiban megváltoztathatja a távoli eléréssel kapcsolatos elvárásainkat és megszokásainkat. Az IPv6 és IPSec alapon működő DirectAccess szolgáltatás összegzésérére talán a következő idézet a legmegfelelőbb: "...a hálózatom nem ott van, ahol az épületünk, hanem ott, ahol a felhasználóink és a gépeink."
2. rész: Windows Security 10 éve és ma
Minden egyes új Windows verzióban újabb és újabb szolgáltatásokat
építenek be, hogy minél biztonságosabb platformot alakítsanak ki. Az
előadásban áttekintjük, hogyan tudta a Microsoft drasztikus mértékben
átalakítani a fejlesztési módszertanát, hogy a 10 évvel ezelőtti
likes-lukas termékek után ma már rendkívül biztonságos
szervertermékekkel jön ki a piacra.
Höltzl Péter
Höltzl Péter: 2001 óta a BalaBit IT Kft csapatában rendszermérnök, majd IT biztonsági szakértő. Hozzám kapcsolódik a BalaBit termékek oktatása. Évente közel 200 hallgatónak tartok tréningeket itthon és külföldön.
Naplózó infrastruktúrák jövője
Napjainkban a rendszerek naplózásának körültekintő tervezését és megvalósítását nem csak a józan ész, de különféle törvények és ajánlások írják elő. Ahhoz, hogy megfelelően hiteles, sértetlen és bizonyító erejű naplóink legyenek, megfelelő infrastruktúrára van szükségünk. Előadásomban ismertetem egy ideális naplózó rendszer felépítését. Végig követjük a naplók teljes életciklusát keletkezéstől egészen az archíválásig. Az előadás kitér az egyes elemek megvalósítási formáira és valamint azok funkcióira, esetleges gyenge pontjaikra. Célom a hallgatók számára bemutassam milyen irányban fejlődnek jelenleg a naplózó rendszerek, mi várható az elkövetkező években.
Illési Zsolt
Illési Zsolt jogi szakokleveles informatikus a Dunaújvárosi Főiskolán, a Pécsi Tudományegyetemen, a Veszprémi Egyetemen és Kodolányi János Főiskolán műszaki, informatikai, tanári, jogi és szakfordítói tanulmányokat folytatott. 1993-óta foglalkozik hivatásszerűen informatikával, üzemeltetői, rendszergazdai, tervezési, biztonsági, kockázatkezelési és oktatási területen szerzett tapasztalatokat. 1999-óta vállalkozó, jelenleg is saját cégében a Proteus Consulting Kft-ben ügyvezetőként és vezető tanácsadóként dolgozik. 1996-óta tagja az ISACA-nak, 1998-ban CISA, 2004-ben CISM minősítést szerzett; 2000 óta informatikai igazságügyi szakértő, főleg büntetőügyek informatikai szakértésével foglalkozik. 2007. óta a Zrínyi Miklós Nemzetvédelmi
Egyetem PhD hallgatója, kutatási területe az információs terrorizmus krimináltechnikai vizsgálata.
Hackers beware!
Digitális nyomok az informatikai rendszerekben
„Minden érintkezés nyomot hagy”, állapította meg Edmond Locard a francia Sherlock Holmes, megalapozva a bűnügyek kutatásának tudományos módszereit. Az anyagi világ nyomai (anyagmaradvány és lenyomat) mellett egyre több digitális nyom tanúskodik az elkövetők ellen, hiszen a számítógépek lehetnek egy bűncselekmény elkövetésének tárgyai, célpontjai, eszközei vagy tanúi, vagyis –a Locard elv alapján – ezeken is maradnak olyan nyomok, amelyek összekötik az elkövetőt, a tetthelyet és a sértettet, árulkodhatnak az elkövetés idejéről, módjáról és egyéb lényeges körülményéről.
Az informatikai rendszereket is érintő bűntettek (például a „hekkelés” egyes minősített esetei, mint a Btk. 300/E. § Számítástechnikai rendszer védelmét biztosító technikai intézkedés kijátszása) vizsgálatakor a nyomozó hatóság az érintett infokommunikációs eszközeit – az elkövető, a sértett számítógépét, mobiltelefonját, az internet és mobilszolgáltatóját stb. – is bevon(hatj)a a vizsgálatba, lefoglalhatja, a hálózati és egyéb kommunikációt lehallgathatja és elemezheti. Az informatikai rendszerek megfelelő „vallatási” technikák mellett „fecsegnek”, így a hatóság meglepően sok hasznos és bizonyítékként is felhasználható adathoz jut hozzá. A fájlrendszerek és a fájlok metaadatai, az alkalmazások és eszközök naplói, az operációs rendszerek konfigurációs és rendszerfájljai (különösen a Windows Registry), a hálózaton elküldött csomagok mind-mind vallhatnak az elkövető ellen. Sőt! A fájlok törlése vagy a titkosítás sem rejti el minden esetben a terhelő adatokat.
Az előadás kis ízelítő abból, hogy milyen rugóra jár az informatikai rendszert vizsgáló szakértők (igazságügyi szakértők, a nyomozóhatóság és a szakszolgálatok tagjainak) agya, hogyan dolgoznak a büntetőeljárás során, milyen hardver és szoftver eszközöket használnak, továbbá milyen sok bizonyíték nyerhető ki az „élő” és „holt” rendszerekből.
Alexander Kornbrust
Alexander Kornbrust is the founder of Red-Database-Security a company specialized in Oracle security. He provides Oracle security audits, security training and consulting to customers worldwide. Alexander is also the co-author of the book "SQL Injection Attacks and Defense ".
Alexander has worked since 1992 with Oracle and his specialties are the security of Oracle databases and secure software architectures. In the last 6 years Alexander has reported more than 350 security bugs to Oracle and gave various presentations on security conferences like Black Hat, Defcon, Bluehat, HITB, ...
Alexander holds a masters degree in computer science from the University of Passau, Germany.
Finding the hole
"Finding the hole" becomes more and more important nowadays. In the security area this sentence can have 2 meanings. To find bugs and to find a niche for the future (business).
This presentation will explain how I found my niche in the Oracle universe, Oracle reaction on my business ideas, outlook in the future. But I will also show some interesting security/architecture bugs I found this year in the Oracle and during security audits.
Dr. Kovács László és Krasznay Csaba
Kovács László hivatásos katona. Közel húsz éve foglalkozik elektronikai hadviseléssel, valamint információs műveletekkel. Jelenleg a Zrínyi Miklós Nemzetvédelmi Egyetem Információs Műveletek és Elektronikai Hadviselés Tanszék egyetemi docense. Az egyetemen oktatóként részt vesz az alap, mester és doktori képzésben. Az oktatás mellett tudományos kutatásokat folytat, amelyek az információs terrorizmus, a kritikus információs infrastruktúrák védelme, valamint az információs hadviselés különböző kérdéseit vizsgálják. 2005-ben, illetve 2009-ben információs terrorizmus kutatási témával elnyerte a Magyar Tudományos Akadémia Bolyai János Kutatói Ösztöndíját. Több olyan PhD hallgató tudományos témavezetője, akik kutatásai az információbiztonság, az információs támadások, illetve az ellenük való védekezés nemzetbiztonsági kérdéseit vizsgálják.
Krasznay Csaba 2003-ban szerezte meg diplomáját a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Kar villamosmérnöki szakán, számítógépek rendszer- és alkalmazástechnikája főszakirányon, illetve távközlésmenedzsment mellékszakirányon. Korábban a BME Informatikai Központjának, valamint a kancellár.hu Zrt.-nek a munkatársa, ahol informatikai biztonsággal kapcsolatos projektekben vett részt. Jelenleg a HP Magyarország Kft.-nél dolgozik, mint informatikai biztonsági tanácsadó. 2005-ben CISA, 2006-ban CISM és CISSP, míg 2008-ban Certified Ethical Hacker minősítést szerzett. Elnökségi tag a Magyar Elektronikus Aláírás Szövetségben, valamint tagja az ISACA magyar tagozatának. 2008 óta a Zrínyi Miklós Nemzetvédelmi Egyetem PhD hallgatója, kutatási témája az elektronikus közigazgatási rendszerek biztonsága.
Digitális Mohács
Hazánk is számos olyan infrastruktúrával rendelkezik, amelyek a mindennapi életben – a gazdaságtól kezdve a politikán át a mindennapi emberek életéig – nélkülözhetetlenek. Kritikus információs infrastruktúráink mindenhol megtalálhatóak. Csak néhány példa: villamosenergia-rendszer irányítása, banki és pénzügyi számítógépes hálózatok, vezetékes és mobil kommunikáció, egészségügyi informatikai rendszerek. Az nem újdonság ma már senki számára, hogy ezek a rendszerek (is) sérülékenyek, támadhatóak. Ugyanakkor nem látunk olyan határozott lépéseket, amelyek ezek komplex védelmére irányulnának.
Gyakran mondogatjuk: nekünk egy Mohács kell, hogy felfogjuk valóban veszélyben vagyunk! Ha ez a Mohács az információs infrastruktúrák területén jelentkezik, akkor bekövetkezhet egy "Digitális Mohács", azaz egy olyan informatikai-információs katasztrófa, amelyek következményei mindannyiunkat el fognak érni.
Előadásunkban azokat a rendszereket kívánjuk bemutatni, amelyek a leginkább támadhatóak hazánkban, és a leginkább sérülékenyek egy összehangolt információs támadás esetén. Hangsúlyozni kívánjuk, hogy nem ötleteket akarunk adni, és nem akarjuk kinyitni Pandora szelencéjét sem. A célunk az, hogy felhívjuk a figyelmet arra, hogy hazánk is komoly veszélyben van, amelyet nem lehet túldimenzionálni. További célunk, hogy olyan megoldásokat javasoljunk, amelyek ha nem is tudják megakadályozni a támadásokat, de legalább azok következményeit képesek mérsékelni.
Kovács Zsombor
Kovács Zsombor a BME Villamosmérnöki és Informatikai Karán végzett informatikusként. Diploma után IT-biztonsági területen kezdett PhD tanulmányokba, jelenleg az ipar Sötét Oldalára átállva tanácsadóként dolgozik. Szakterülete az aktív és passzív felderítés, a hálózati sebezhetõségek témaköre és a no-tech hacking.
Webalkalmazások klasszikus biztonsági hiányosságai
Webalkalmazások betörési tesztelése során egészen meglepõdtünk azon, hogy a fejlesztõk ugyanazokat a hibákat követik el újra és újra, más köntösbe csomagolva: a többszörös "Idõzített Bomba"-nagydíjas cleartext jelszótárolás, az örök klasszikus "ottfelejtett" default websphere-szkriptek, az inputvalidáció diszkrét mellõzése az oldalra kidobott "hidden" input mezõk körében, a sessionkezelés hanyagságai, a hibaüzenetek nem megfelelõ kezelése, és még sorolhatnánk - és sorolni is fogjuk az elõadáson, amely a tesztelés során talált leggyakoribb hibákat gyûjti csokorba.
Nemes Dániel
A biztonságos és nagysebességű vállalati Wi-Fi evangelistája.
Dániel az értéknövelt biztonsági disztribúcióval foglalkozó biztributor ügyvezetője. Feladata a stratégiaalkotás, a termékstratégia kialakítása, új technológiák kiválasztása. A biztributor előtt a filter:max biztonsági integrátor alapítója, korábban pedig a telnet Magyarország Rt. internetes társaság alapító vezérigazgatója volt. A cég a Deloitte & Touche CE Fast 50 listáján 2000-ben a 9. helyet szerezte meg.
Nemes Dániel felsőfokú tanulmányait a Budapesti Műszaki Egyetem Műszaki Informatika szakán kezdte, közgazdász diplomáját az Oxford Brookes University-n, pénzügy szakirányon szerezte. CISA minősítéssel és számítógép-programozói képesítéssel rendelkezik. Az IVSZ 2001-ben az „Év fiatal informatikai menedzsere” címmel tüntette ki.
Wi-Fi hálózatok a vállalati környezetben
„De secure Wi-Fi vero quae sunt...” - Biztonságos Wi-Fi pediglen létezik
Az előadás elsősorban azoknak a szakembereknek szól, akik a „biztonságos Wi-Fi hálózat” szókapcsolatokat meghallva nevetni kezdenek. Dániel célja, hogy az előadás végére a nevetés helyett elgondolkodjon a hallgató, és legalább meginogjon a hite abban a prekoncepcióban, hogy nem létezik biztonságos és menedzselhető wireless hálózat.
Mert biztonságos Wi-Fi pediglen létezik: vállalati Wi-Fi-nek hívják.
Előadásában Dániel körbejárja, hogy miért nem működnek az otthoni felhasználóknak, kis- vagy mikro vállalatoknak szánt eszközök vállalati és intézményi környezetben, felveti azokat a problémákat (biztonság, teljesítmény, menedzselhetetlenség, BIZTONSÁG!!!), amelyek miatt az üzemeltetők tartanak a hagyományos Wi-Fi hálózatoktól.
Dániel be fogja mutatni azokat az architektúrális különbségeket és előnyöket, amelyek biztonságossá (akár katonai-szintű biztonság), nagysebességűvé (akár 130-160 Mbps/sec hasznos sebesség), jól menedzselhetővé (akár tízezernél is több AP eszköz) tesznek egy vállalati Wi-Fi hálózatot.
Az előadás során Dániel érinteni fogja az alábbi kulcsfontosságú témaköröket:
– Vastag- és vékony AP-s rendszerek
(Controller és tunnel-alapú megoldások, önálló AP-rendszerek),
– Automatikus rádiófrekvencia-menedzsment
(ARM, Band Steering, Airtime Fairness, RF traffic shaping),
– Lehetséges támadásformák
(WLAN discovery, DoS, surveillance, impersonation/man-in-the-middle, client-client/client-network intrusion, rogue AP-k),
– Védekezés a támadásokkal szemben OSI 1-4 szinteken
(WIPS, Rogue AP azonosítás/elnyomás, AAA, role-base/user-user firewalling, location tracking, inside VPN infrastruktúra, stb.),
– Üzembiztonság
(HA, AP load balancing, roaming, OS/firmware menedzsment),
– 802.11n speciális biztonsági kérdései
(TKIP-probléma, 40Mhz csatorna-monitoring, szenzor-probléma, QoS komplikáció, stb.),
– Biztonsági és üzembiztonsági felügyelet.
Paulik Tamás és Gulyás Gábor
Paulik Tamás végzős BSc-s mérnök informatikus hallgató a Budapesti Műszaki és Gazdaságtudományi Egyetemen. Az egyetemi oktatás keretein belül kezdett el foglalkozni a Privátszférát Erősítő Technológiákkal és a hálózatbiztonsággal. A Hacktivity 2009 konferencián bemutatott BlogCrypt (előadás: Blogolok, de csak nektek!) az első komolyabb önálló projektje.
Gulyás Gábor György 2007-ben végzett a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Karán, az Infokommunikációs rendszerek biztonsága szakirányon, mint mérnök-informatikus. Jelenleg a Híradástechnika tanszéken harmadéves PhD hallgató, kutatási témájának fókuszában az internetes Privátszférát Erősítő Technológiák (PET) állnak. 2008 óta a PET Portál & Blog szerkesztőbizottságának tagja és moderátora, a Portál működési körén belül rendszeresen vesz részt PET-ekhez, adatvédelemhez köthető szakmai események szervezésében. Az egyetem mellett webes fejlesztéssel foglalkozik, és részt vesz a BROAD nemzetközi projektben, mint fejlesztő. Emellett jelenleg is aktív adatvédelmi tanácsadó tevékenységet is folytat.
Blogolok, de csak nektek!
Az internet és a WEB 2.0 világába belépve az ember hirtelen hatalmas mennyiségű információt szolgáltat ki magáról. A WeBug, az XSS és Tracking-Cookie csak néhány azon megoldások közül, melyek segítségével információt gyűjthetnek rólunk, hogy azt később felhasználhassák. Az internet lehetőséget nyújt a profilírozónak, hogy elkészítse a felhasználó profilját és utána célzott reklámokat, személyre szabott árakat, tartalmakat szolgáltasson feléje.
Ennek lehet hasznos oldala is (gondoljunk csak a személyre szabott szolgáltatásokra), ugyanakkor ezeket az információkat ellenünk is lehet fordítani. Tegyük fel, hogy a főnökünk tudomást szerez róla, hogy álláshirdetéseket nézegetünk, vagy épp hogy betegszabadságunk alatt egy friss kirándulás képeit töltögetjük fel, vagy a webshopban a kedvenc márkánk árai hirtelen megemelkednek.
Rengeteg információt nyerhetnek ki rólunk azok, akik blog bejegyzéseinket, hozzászólásainkat, fórumbejegyzéseinket elolvassák. Az a nyíltság, ami a WEB 2.0-t naggyá tette, hirtelen ellenünk fordult. Jó lenne a blogokat, bejegyzéseket mégiscsak megvédeni azoktól, akik ellenünk akarják használni, illetve, hogy csak azok olvashassák, akiknek mi megengedjük. Vagy ha nem is mindent, de bizonyos bejegyzések egyes részeit.
A BlogCrypt erre a problémára jelent megoldást. Az webes felületeken található szöveges mezőkbe bevitt információt képes kliens oldalon titkosítani. A szöveget így a böngésző már titkosítva küldi el a szolgáltatónak. A honlapra érkező látogató pedig, amennyiben rendelkezik a megtekintéshez szükséges kulccsal, zavartalanul élvezheti a tartalmat, a kulcs hiányában azonban nem lesz képes értelmezni azt. Írásaink így védve vannak a szolgáltatói szűréstől, a különböző elemzést, adatgyűjtést végző robotoktól és a nem kívánatos olvasóktól is.
Egy ilyen megoldásnál igen fontos a platformfüggetlenség, ezért a BlogCrypt egy Firefox kiegészítésként került megvalósításra, így bárhol használhatjuk, könnyedén magunkkal vihetjük, sőt a meglévő Firefox alapú anonim böngészőkbe is integrálhatjuk.
A megoldás teljesen független a szolgáltatói oldaltól, bármilyen szöveges mezőbe bevitt és kijelölt információt képes AES-CBC, vagy AES-CTR blokk rejtjelezési módok segítségével védetté tenni. A bejegyzések szerzője különböző kulcsokkal láthatja el a bejegyzéseket, így akár minden egyes postot, vagy akár csak azok egyes részeit más-más csoport számára tehet olvashatóvá.
Pánczél Zoltán és Spala Ferenc
Pánczél Zoltán a Széchenyi István Egyetemen szerzett mérnök informatikus diplomát. Korábban a Paksi Atomerőmű Informatikai főosztályon majd a BME Informatikai Központjában dolgozott. Jelenleg a kancellár.hu Zrt.-nek dolgozik, mint információbiztonsági tanácsadó. Több, mint 10 éve foglalkozik az IT biztonság technikai oldalával. Szakterülete az etikus hackelés, sérülékenységvizsgálat. 2007-ben a hacktivity wargame játék győztese, teljes rendszer feltöréssel. CISSP, OSCP minősítésekkel rendelkezik.
Spala Ferenc az ELTE Informatikai Karán szerzett Programtervező matematikus diplomát. Korábban webfejlesztőként dolgozott. Jelenleg a kancellár.hu Zrt. infomrációbiztonsági tanácsadója, valamint külsős óraadó az ELTE Informatikai Karán. A Hacktivity szervezésében 2008 óta vesz részt, az idei évtől a hacktivity.hu webmestere.
Nmap proxy patch – Tüzelés fedezékből
Az Nmap alkalmazást valószínűleg nem kell bemutatni senkinek, hiszen egyike a legnépszerűbb tool-oknak, megtalálható minden IT biztonsági tanácsadó és hacker szerszámosládájában. Nagyon sokoldalú eszközről van szó, elsődlegesen azonban a távoli számítógép port szkennelésére szoktuk használni. A portscan roppant egyszerű technika, küldünk „mindenféle” csomagot a távoli gépnek és várunk, megnézzük milyen válasz érkezik és a kapott – vagy épp nem kapott – csomagok alapján az Nmap eldönti nekünk, hogy az adott port státuszát.
Egy probléma van ezzel a történettel, egy portscan iszonyúan zajos művelet. Egyrészt azért, hiszen az Nmap által használt technikákat (pl: connect scan, syn scan) a mai behatolás érzékelő rendszerek képesek detektálni. Ehhez nagymértékben hozzájárul az is, hogy általában nem egy vagy tíz portra „próbálunk rá”, hanem több ezerre. Voltak ugyan próbálkozások, mindenféle trükkös csomagokkal történő portscan-elésre (FIN scan, Null scan, Xmas scan és társaik), de mára már ezeket is megtanulták felismerni az IPS/IDS rendszerek. Természetesen az Nmap fejlesztők is beépítettek bizonyos szintű támogatást az anomim scannelésre, például az Idle scan és az FTP Bounce attack ilyenek. Mindkét technika alapötlete az, hogy egy másik géppel végeztetik el a piszkos munkát, azaz a különböző logokban nem a mi IP címünk fog látszódni, hanem egy áldozat gép IP-je. A baj csak annyi velük, hogy végrehajtásukhoz igen szerencsés „csillagállás” szükséges.
Ha belegondolunk, ugyanez történik, ha egy proxy szerver mögül barangolunk az Interneten, akkor sok egyéb szolgáltatás mellett, egyfajta mellékhatásként a proxy bizonyos fokú anonimitást is biztosít számunkra. Elvégre nem mi kapcsolódunk a www.hacktivity.hu szerverre és töltjük le a weboldalt, hanem a proxy szerver teszi ezt meg nekünk és mi már tőle kapjuk meg a kért weblapot.
Ugyanezt az elvet ültettük át a portscan-elés világába. Fogjunk egy proxy szerver – sőt ne is egyet, fogjunk jó sokat és fűzzünk föl ezekből egy proxy láncot! A lánc elején ott vagyunk mi, a lánc végére pedig akasszuk rá a távoli gépet amit scan-elni akarunk. Ezután már csak annyit kell tennünk, hogy megtanítjuk az Nmap-ot „SOCKS proxy-ul”, és máris úgy tudunk connect() scan-t végrehajtani, hogy az adott kérés 1, 2, vagy akár 20 köztes proxy-n keresztül jut el a célpontig. Hogy miért jó ez nekünk? Mostantól nem zavar minket, hogy zajos amit csinálunk, hiszen a mi IP címünk nem jelenik meg a távoli gépen, sőt az első proxy-t leszámítva sehol sem! Ahhoz pedig, hogy valaki eljusson az első proxy-ig a távoli géptől indulva vissza kell fejtenie a láncot, ami igen idő és erőforrás igényes feladat lehet. Az előadásunk során bemutatjuk az elkészített proxy patch főbb tulajdonságait, illetve az implementáció részleteit is ismertetjük.
Szappanos Gábor
Szappanos Gábor fizikusként végzett az ELTE Természettudományi Karán. Első munkahelye az MTA SzTAKI Rendszer és Iranyításelméleti Kutató Laboratóriuma volt, ahol atomerőművi diagnosztikai hardver és szoftver megoldások kifejlesztésén dolgozott. A vírusokkal 1995-ben kezdett foglalkozni, szabadidejében freeware vírusvédelmi programokat írt, valamint szabadúszóként a Virus ALERT for Macros programcsaládot fejlesztette. 1997-től a lap megszűnéséig az Új Alaplap Vírusőrjárat rovatának volt a szerkesztője. 2001-ben csatlakozott a Virusbuster csapatához, ahol először a makró- és script vírusok elemzésével foglalkozott, majd 2002-től a viruslabor vezetőjeként dolgozik. Számos hazai és nemzetközi konferencián szerepelt előadóként.
2008 óta az AMTSO (Anti Malware Testing Standards Organization) igazgatótanácsának tagja.
A webes támadások anatómiája
Napjaink leggyakoribb támadásfajtája web böngészés közben éri a felhasználót. Ilyenkor feltörhető weboldalak tartalmába injektálnak kártevők terjesztésésre alkalmas kódokat.
Az előadás altalánosan ismerteti az ehhez a támadástípushoz kapcsolódó komponenseket (exploitation kit-ek, script kódolások, Win32 letöltők), és valós támadás felgöngyölítésével konkrétan is bemutatja a folyamatot a fertőzött oldal meglátogatásától a számítógép teljes megfertőződéséig.
Tevesz András
Tevesz András vagyok az ELTE IK Programtervező matematikus szakára jártam. Jelenleg Balabit IT Kft. nál dolgozom mint fejlesztési csoport vezető. Korábban kernel fejlesztőként és fejlsztőként dolgoztam egy adat vesztést megelőző projecten a Megatrend 2000 Kft berkeiben. Valamint külsős óraadóként dolgoztam az ELTE Informatikai Karán is. Több mint 7 éve foglalkozom informatikai biztonsággal.
Nem félünk a rootkittől
Az eladás egy áttekintést próbál adni a rootkitek detektálásáról, eltávolításáról illetve a belső működéséről. Példákon keresztül szemléltetve a kernel és a userspace hookolást, DKOM-t és egyéb megoldásokat. Az előadásban szerepleni fog néhány a világban elterjedt rootkit megoldásainak bemutatása illetve néhány segédprogram ami segíthet felderíteni és hatástalanítani a rootkiteket.
Tóth László
Tóth László a Kandó Kálmán Műszaki Főiskola Műszaki informatika
illetve Mérnök-tanár szakán szerzett mérnök-informatikus és
mérnök-tanár diplomákat. Programtervező matematikus diplomáját a
József Attila Tudományegyetemen szerezte. Jelenleg informatikai
biztonsági tanácsadóként dolgozik és több mint 9 éves tapasztalattal
bír. Ezek alatt az évek alatt számtalan biztonsági betörési tesztet és
felülvizsgálatot végzett különösen érzékeny környezeteken. László az
írója a woraauthbf eszköznek mely jelenleg az egyik leggyorsabb Oracle
jelszó törő program és több cikket is publikált az Oracle
authentikáció sérülékenységeivel kapcsolatban.
Oracle adatbázis authentikáció
Oracle adatbázis biztonsággal kapcsolatban ritkán kerül elő az
authentikációs protokoll kérdése, pedig szintén érdekes terület lehet
egy támadó számára. Az előadás az első részében részletezi a használt
natív authentikációs mechanizmusokat és az eddig ismert
sérülékenységeket. Bemutatja, miként lehet a klienst és a szervert
"MITM" ("Man in the Middle") típusú támadással meggyőzni, hogy az
erősebb authentikációs algoritmusokat helyett, a gyengébb
algoritmusokat használják (a probléma eddig is ismert viszont
technikai részleteit még nem publikálták).
A natív megoldás mellett az előadás foglalkozik a Windows alapú
authententikációval és szemlélteti, hogy az ismert sérülékenységek a
Windows authentikációban miként használhatók ki Oracle esetében.
Az előadás során bemutatásra kerül két eszköz, mely az ismertetett
sérülékenységek kihasználására alkalmas. Az egyik egy proxy típusú
eszköz, mely a natív és Windows authentikáció problémáinak
kihasználását támogatja, ha a támadó képes a szerver és kliens ellen
MITM típusú támadást indítani. A másik egy nyomkövető
programozhatóságát kihasználva működik, mely a Windows authentikáció
Squirtle által kihasznált egyik sérülékenységére épít. Ez utóbbi jó
példát szolgáltat az úgynevezett programozott nyomkövetés
alkalmazására.
Az előadás végén ismertetésre kerülnek a védelem lehetőségei.
Gara-Tarnóczi Péter
Gara-Tarnóczi Péter 1998-ban szerzett programtervező matematikusi diplomát az Eötvös Loránd Tudományegyetem Természettudományi Karán. Harmadéves szakdolgozata egy Intel 8086 gépi kód emulátor alapokon nyugvó, heurisztikus víruskereső program fejlesztését tartalmazta, diplomamunkájában pedig kurrens víruskeresők heurisztikus elemzőjének részletes működését mutatta be. Kilenc éve dolgozik informatikai biztonsági területen, CISSP, GCIH és GCFW minősítésekkel rendelkezik.
Rendhagyó bemutatkozás: http://www.sans.org/reading_room/whitepapers/threats/exploiting_blackice... valamint http://hacktivity.hu/portal/archivum/folia/2007/Gara_Peter_Hacktivity_20...
illetve
entry: mov ah,09h
mov dx,offset copyright
push cs
pop ds
int 21h
cli
xor ax,ax
mov es,ax
mov bx,offset int_21
mov cx,cs
xchg bx,word ptr es:[0084h]
xchg cx,word ptr es:[0086h]
sti
xchg bx,word ptr cs:[offset offs_21]
xchg cx,word ptr cs:[offset segm_21]
mov dx,offset entry
int 27h
copyright:
db 0dh,0ah,'FFLAG V0.05ß : '
db 'F-PROT flag display',0dh,0ah
db 'Freeware program by Peter Gara',0dh,0ah
db 'gara@ludens.elte.hu',0dh,0ah
db 'It works with F-PROT 2.22,2.25,2.26,2.27',0dh,0ah,24h
Windows shellkódok kártékony alkalmazásokban
Egy puffer túlcsordulásos sérülékenységet kihasználó kártékony kód terjed az interneten. Az angol nyelvű szakmai oldalak megemlítik, hogy „az exploitban elhelyezett shellkód XOR művelettel titkosított. A kititkosítást követően egy weboldalról kártékony alkalmazást tölt le, elmenti a bejelentkezett felhasználó Application Data mappájában, majd végrehajtja.” Magyarul általában még kevesebb információt kapsz, ez hiányérzetet ad. Ugyanakkor létezik olyan nyelv, amely tökéletesen írja le az ártó kód működését, mégsem találkozol vele a mindennapokban.
„A programkönyvtári függvények helyének meghatározásához a kernel32.dll memóriabeli előfordulásának báziscímére van szükség.” Foglalkoztatott már a gondolat, hogy mi rejlik egy ilyen mondat mögött? Szeretnéd megérteni, hogy miért van szüksége a kártékony kódnak erre a címre? Tudod, hogyan lehet ezt a címet megkapni? Utóbbira a választ két nyelven is elmondom.
Intel 80386 gépi kód
64 A1 30 00 00 00 8B 40 0C 8B 70 1C AD 8B 68 08
Intel 80386 Assembly
mov eax, dword ptr fs:[30h] mov eax, dword ptr [eax+0Ch] mov esi, dword ptr [esi+1Ch] lodsd mov ebp, dword ptr [eax+08h]
Érthető? Bár a válaszokat magyarul kapod – az előadás megértéséhez nincs szükséged gépi kód ismeretre –, határozottan előnyös 32 bites 80386-os Assembly alaptudás birtokában lenned. A gyakorlatban kétféle Assembly szintaxist alkalmaznak előszeretettel (AT&T és Intel), melyek közül az Intelt szoktam meg és használom. Erre számíthatsz a prezentációban is.
Lehet-e védekezni speciális támadások ellen úgy, hogy nem a sérülékenység kihasználására összpontosít a biztonsági megoldás, hanem a támadó kód jelenlétét vizsgálja? Mennyire hatékony a shellkód felismerése fájlokban? Mi védhet meg egy támadás sikeres kivitelezésétől, ha az exploit alkalmazásának eredményeképp már áttevődött a végrehajtás a shellkódra? Reményeim szerint az előadás legalább részben választ ad ezekre a kérdésekre.
