Az etikus hackeléssel foglalkozó rendezvényt a NetAcademia Oktatóközpont szervezte, melyhez számos neves cég csatlakozott támogatóként. A konferencia iránti nagyfokú érdeklődést örömteli volt nézni. A budapesti Cinema City Arénában, teltház előtt megtartott előadásokon IT szakemberek, rendszergazdák és biztonsági szakértők is szép számban vettek részt.

A konferenciát Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője nyitotta meg, majd az első előadás keretében Rajive Kapoor, a NetAcademia Ethical Hacking tanfolyamát jegyző, EC-Council európai képviseletét ellátó Security Systems Resource International (SSR-I) ügyvezetője ismertette a globális biztonsági problémákat. A szakember olyan sokat emlegetett fenyegetettségekről számolt be, amelyekkel alátámasztotta a megfelelő védekezés szükségességét. Az előadás során kiemelte a botnetek problémáját, a drive-by-download támadások veszélyeit és az adatlopásokból származó komoly károkat. Jó néhány példával illusztrálta e fenyegetettségek valódi kockázatait. Rajive Kapoor hangsúlyozta, hogy a támadókat manapság már a pénz motiválja. Egyre kifinomultabb módszereket vetnek be céljaik elérés érdekében, miközben mind gyorsabbá válnak. Fontosnak tartotta kiemelni, hogy napjainkban koránt sincs arról szó, hogy csak a legnagyobb cégek jelentenének igazi célpontot az online bűnözők szemében. Ugyanis a kisebb cégek egyre inkább célkeresztbe kerülnek, hiszen ezek esetében legtöbbször még nincsenek annyira korszerű és fejlett védelmi technikák, illetve eszközök, mint a nagyvállalatoknál. Ezért könnyebb prédájául szolgálhatnak a hackereknek. Rajive Kapoor a cégeken belüli biztonsági incidensek kezelésének fontosságára is rávilágított. A fenyegetettségek elleni küzdelem leghatékonyabb eszközeinek többek között a biztonságos fejlesztéseket és a hatékony incidenskezelést tartotta. Ezek mellett elmondta, hogy a biztonság megteremtése és fenntartása során érdemes lehet a hackerek gondolkodásmódját is figyelembe venni.

Cross Site Scripting és a SQL Injection
A második előadás során Fóti Marcelltől halhatott a közönség egy érdekes beszámolót a Cross Site Scripting és a SQL Injection támadásokkal kapcsolatban. A NetAcademia ügyvezetője elsősorban ez utóbbi fenyegetettséget emelte ki az előadása során, és mutatott be néhány érdekes trükköt. A hallgatóság érdeklődve figyelte, amikor a szakember az SQL Injectionről szóló ismertetőkben is sokszor felbukkanó " ' OR 1=1 -- " kifejezés használatával tulajdonképpen bármit megtehetett a rendelkezésre álló Microsoft SQL Server adatbázissal. Egy esetben "távolról" még le is állította azt. Természetesen a sikeres bemutatóhoz az is kellett, hogy a demoként szolgáló ASP oldal ne rendelkezzen védelemmel az SQL Injection ellen. Sajnos a mindennapi életben nagyon sok webes és windowsos alkalmazásban található ilyen biztonsági rés. Ebből az is következik, hogy nemcsak a weboldalak fejlesztőinek kell odafigyelniük ezekre a támadásokra, hiszen az SQL Injection az ASP, az ASP.NET és a PHP mellett épp olyan veszélyes lehet például egy Delphivel készített szoftver esetében is. És tulajdonképpen az összes napjainkban használatos adatbáziskezelő kapcsán kockázatokat tartogat. Fóti Marcell az Ördöglakat elnevezésű internetes kezdeményezés sikerességéről is említést tett.

"Dögvész" a hálózaton
Az adatbázisok elleni támadások bemutatója után Deim Ágoston vette át az előadó szerepét, és hálózatok ellen elkövethető támadásokról beszélt, illetve illusztrálta azokat. Az előadáson fontos szerepet kaptak a switchek. Kiderült, hogy ezen gyakran alkalmazott eszközök révén -  megfelelő védelmi intézkedések hiányában - könnyedén megbéníthatóvá válhatnak a hálózatok. Szóba került az ARP spoofing módszer, amelynek kapcsán a konferencián résztvevők egy ingyenesen letölthető programok által kivitelezett támadást is végignézhettek. Olyan szoftverek kerültek szóba, mint például az Ettercap, a Wireshark, illetve a Cain & Abel. Ezt követően a szakember a DHCP-t is felhasználó támadásokról beszélt. Ezek elsősorban azért lehetnek sikeresek, mert sok hálózatban alapértelmezett a DHCP használat, és maga a protokoll is sok lehetőséget tartogat az hackerek számára. Olyan támadási módszerek kerültek említésre, mint például a kiéheztetés (IP címek "elfogyasztása") valamint a DHCP szerver hamisítás. Amennyiben ez utóbbi sikerül a támadóknak, akkor az adott hálózatban szabadon hozhatnak létre DNS szolgáltatásokat, átjárókat, stb.

Többrétegű védelem
A konferencia délelőtti részének záró előadását Rideg Márton, az MKB Bank osztályvezetője tartotta meg. A szakember a mondanivalóját elsősorban a technológiaorientált védelemre hegyezte ki, és a többrétegű védelem fontosságára hívta fel a figyelmet. Elmondta, hogy több modell alapján is lehet védekezni. Az egyik ilyen, amikor az adatokat tesszük a középpontba, és ezek fölé helyezzük az alkalmazásokat, a számítógépeket, a belső hálózatot, a peremhálózatot, a fizikai biztonságot és a különféle házirendeket, előírásokat. Ugyanígy felosztható a védelmi rendszer az OSI réteg szerint is, de soha nem szabad megfeledkezni a leggyengébb láncszemről, azaz az emberi tényezőről.

Természetesen ebből az előadásból sem maradt el egy kis figyelemfelkeltő etikus hekker támadás. A szakember elsősorban arra világított rá, hogy mindenféle különösebb speciális ismeret nélkül, mindössze néhány szabadon letölthető program segítségével is igen hatékony támadásokat lehet kezdeményezni. A bemutató során egy Internet Explorerben már régebben felfedezett sebezhetőséget használt ki, melynek során olyan szoftverekkel dolgozott, mint például a Metasploit Framework. A támadáskor "eltérített" egy szimulált vállalati intranet weboldalt, majd a Metasploit révén létrehozott kód segítségével egy parancssori felülethez jutott, és ezzel tulajdonképpen bármit megtehetett az áldozatul esett tesztrendszeren. Rideg Márton a védekezés kapcsán a hibajavítások rendszeres telepítését, a hálózatok védelmét, a DEP és hasonló technológiák alkalmazását valamint a felügyelet (konfigurációkezelés, logelemzés, stb.) fontosságát részletezte. Majd végül az ember a folyamatok és a technológia egységének megteremtését hangsúlyozta.

A cikkünk következő (kedden megjelenő) részében az Ethical Hacking konferencia második részét mutatjuk be, amelyen szintén számos hekker technikáról hullt le a lepel.

A cikkünk második részét itt olvashatja >>