Idén immár ötödik alkalommal gyűltek össze az etikus hackerek és az informatikai biztonság iránt érdeklődők az Ethical Hacking konferencia keretében. Az előadók azzal a céllal álltak a színpadra, hogy bemutassák a sok esetben saját fejlesztésű eszközeiket, vagy az általuk képviselt biztonsági területek legfontosabb problémáit, védelmi lehetőségeit.

A konferencián - az előző évekhez hasonlóan - ezúttal is nagy hangsúlyt kaptak a gyakorlatias előadások, bemutatók, élő demók, amiket a hallgatóság is díjazott. A teltházas rendezvényen az előadók a mély szakmai mondanivalójuk mellett igyekeztek jó hangulatot teremteni, ami sok esetben sikerült is, amikor egy-egy hacker trükkel védelmi vonalakat kerültek meg.

Az idei eseményen sem volt hiány azon előadásokban, amelyek az etikus hacker konferenciák kötelező elemét jelentő hálózat-, adatbázis- és alkalmazásbiztonság köré csoportosultak. Ezek mellett a 2012-es Ethical Hackingen a korábbi évekhez képest fontosabb szerephez jutott a mobilbiztonság, ami nem is csoda, hiszen e védelmi terület mind több fejtörést okoz a mindennapokban.

Induljunk a felhőkből

Az első előadást Fóti Marcell, a konferenciát szervező NetAcademia Oktatóközpont vezetője tartotta, aki a cloud computingban rejlő kockázatokra világított rá. Elmondta, hogy az üzleti nyomás előbb-utóbb mindenhol ki fogja kényszeríteni a felhőalapú rendszerek használatát, ezért ez a terület is fokozott figyelmet igényel. A biztonsági kockázatok szempontjából a cloud computing olyan veszélyeket vet fel, mint a nem megbízható belső munkaerő alkalmazása, az adatvesztés, az adatszivárgás, a szolgáltatások eltérítése, a hitelesítés kijátszása, stb. Ez utóbbi kockázati tényező valós mivoltát egy demóval érzékeltette. Barta Csaba, a Deloitte szakértője által készített eszköz segítségével először egy VirtualBox alatt futó Windowsra tudott - a gazdagép fizikai memóriájából való információkinyeréssel és némi manipulálással - bejelentkezni anélkül, hogy ismerte volna az érvényes jelszót. Ezt követően hasonlóan sikerült végrehajtania a hackerkedést egy VMware ESX alatt futó virtuális gépen 64 bites környezetben.

A technikát Zsíros Péter, a NetAcademia oktatója tovább csiszolta, és azt is elérte - migrációval valamint ARP poisoning alkalmazásával -, hogy a támadáskor ne kelljen leállítani a virtuális gépet. A szakemberek az előadás során tulajdonképpen azt használták ki, hogy a memóriában a kódok, adatok titkosítatlanul találhatók.

Egy kis SQL injection

Az idei rendezvényen Hambalkó Balázs IT-biztonsági szakértő foglalkozott mélyrehatóan az SQL injection alapú támadási módszerekkel. Erről a technikáról nem lehet eleget beszélni, hiszen az adatbázisok elleni támadások egy jelentős része ezek révén valósul meg. Az előadó ezúttal egy olyan demó weboldalt vett célba, amelynek védelmében többek között egy IDS is szerephez jutott. A szakember úgy hajtotta végre az SQL injectiont, és úgy fért hozzá nem is csak egy adatbázishoz, hogy közben az IDS figyelő tekintete előtt leplezte a tevékenységét. A közönség az online adatlopások egy gyakori esetét élhette át testközelből.

Egy tűzfal megkerüléséről, a kiberhadviselésről és egy iPad-alkalmazás átveréséről is olvashat még a Computerworld konferenciáról szóló beszámolójában.