Hackertámadás Budapesten!

Sebastian Schreiber - ahogyan a vele készült interjúnkból is kiderült - egy igazi jóindulatú fehér kalapos hacker. Legális céget alapított, és a cégek kérésére próbának teszi ki informatikai rendszerüket. Sebastian a leggyakoribb hibákból összeállított egy showt, melyet Budapesten is bemutatott. A bemutató célja valószínűleg a teremben ülő számos IT vezető felébresztése volt. Az unalmas előadásokon hiába szajkózza mindenki, hogy mennyire fontos a biztonság, hogy betörésekre kell számítani. A fiatalember viszont viccesen, vidáman, de meghökkentő egyszerűséggel mutatta be, hogy a mobiltelefontól az SSL-en át a Windows XP-ig semmi sincs biztonságban.

Az első bemutató egy Nokia 6310-es telefonnal zajlott. Sebastian szerint a trükk bármelyik Nokia telefonnal működik. A lényeg, hogy szükség van a bekapcsolt bluetoothra, illetve egy laptopra Bluetooth kapcsolattal. A keresés mindössze pár másodpercet vett igénybe és a teremben ahol körülbelül 100 ember ült, 15-20 bekapcsolt Bluetooth kapcsolatot detektált a hacker. Ezután saját C-ben írt programját elindítva néhány egyszerű parancs segítségével belépett egy készülékbe úgy, hogy annak a kijelzője mindössze néhány másodpercre villant fel. Ezután bármilyen adatot kinyerhetett belőle, sőt bármilyen műveletet elvégezhetett róla anélkül, hogy a kijelzőn bármi megjelent volna. Ennek prezentálására küldött is egy üzenetet az egyik résztvevő telefonjára. Elképesztő.

A következő trükk otthon is kipróbálható, egyszerű dolog. Hogyan szerezzünk a Google segítségével jelszavakat? Ez nagyon egyszerű. Semmi mást nem kell tenni, csupán le kell szűkíteni a keresést mondjuk .log kiterjesztésű fájlokra, és meg kell adni, hogy csak azokat jelenítse meg a találati listában, amiken belül megtalálható mondjuk a password szó. Erre a kombinációra jelenleg a Google 62 találatot ad ki. Természetesen ezek a log fileok már nincsenek az adott weblapon, de a Google miért ne tárolta volna el ezt is? Klikk a tárolt változatra. A parasztvakítás része itt kezdődik a dolognak, ugyanis egyrészt véletlenszerű, hogy hová tudunk jelszót szerezni, illetve ezek valószínűleg már megváltoztak a tárolás időpontja óta. Ellenben egy elvi lehetőség arra, hogy mire képes a webes kereső.


A harmadik áldozatnak Sebastian a webshopokat szemelte ki. Itt természetesen a cél az árak megváltoztatása lenne. Erre több verziót is ismer, a két legegyszerűbbet meg is mutatta nekünk. Az első kissé amatőr, de aranyos. Vannak olyan webshopok, ahol a "kosárba tesz" link tartalmazza az árat is és azt nem adatbázisból húzza elő a webbolt motor. Ilyenkor természetesen csak át kell írni az árat és már mehetünk is. Akár meg is rendelhetjük a kívánt terméket 1 euróért.

A második trükkhöz sincs szükség semmi komoly felkészültségre, csupán egy Internet Explorer pluginre. A HTML Source 2.0-ás változata képes egyrészt a php formokat megjeleníteni, illetve azon belül az értékeket meg is lehet változtatni. Amennyiben a webbolt motorja úgy van megírva, hogy ide olvassa be az árat és innentől már nem nyúl az adatbázishoz, akkor máris megrendelhetjük kedvenc szekrénysorunkat 10 Ft-ért. Amennyiben viszont jól megírt motorról van szó, akkor ezzel maximum csak viccelődni lehet.

Természetesen a Windows Xp, mint felület sem maradhat ki egy igazán igényes hacker palettájáról. Itt egy nem megfelelően frissített operációs rendszerrel trükközött Sebastian. Újfent saját készítésű programjának segítségével pillanatok alatt csatlakozott a hálózaton keresztül elért XP-hez, majd kezdésnek létrehozott egy alkönyvtárat a C: meghajtón. Semmi baj, gondoltuk. Ezután létrehozott egy felhasználói fiókot, ami még mindig nem olyan komoly fenyegetés, de mikor ugyanilyen nemes egyszerűséggel adott saját magának admin jogot, akkor szerintem mindenkinek egy kis gombóc lett a torkában, aki nem végezte el a frissítéseket a rá bízott hálózatokon.

Hatásvadász módjára pedig eljátszotta azt a trükköt is, amit anno gyerekként Windows 98-ok ellen mi is gyakran megtettünk. A nuke, azaz a rendszer működésképtelenné tétele manapság már nem olyan könnyű, ehhez is védtelen XP-re van szükség. A hacker a látvány kedvéért elkezdte pingelni a támadott XP-t, elénk tárta mind a két gép monitor képét is, és egy hosszú parancs után egy laza Enter leütésével kék halálra ítélte a támadott laptopot.

A trükközés utolsó részében következtek azok a támadások, amik kevésbé látványosak, kevésbé show szerűek, viszont a legkomolyabb fenyegetést jelentik. Hiába a feltörhetetlen kulcs, amit Phil Zimmermann is emleget folyton, ha a mi hackerünk nem is akarja már feltörni. Egyszerűen beáll a felhasználó és a szerver közé, elkapja az első adatcsomagot amit mondjuk a netbankja felé küldene, és a saját kulcsát küldi tovább, majd a banktól is ő kapja a visszajelzést, amit szintén a saját kulcsával helyettesít. Ezt a technológiát Man-in-the-middle, azaz ember középen támadásnak hívják és az igazi veszélye, hogy a felhasználónak esélye sincs arra, hogy észrevegye, hogy áldozatul esett egy ilyennek.

Gyakorlatilag egy ügyes hacker teljesen azonos képet varázsol a monitorra, mintha közvetlenül érnénk el a szolgáltatást. A szemléltetést először egy vicces dologgal kezdte, mégpedig az áldozati PC-n beírt www.volkswagen.hu weboldal helyére a Ford oldalát varázsolta úgy, hogy a címsorban továbbra is a VW oldala szerepelt. Később egy valós netbankon keresztül szemléltette, hogy mennyire egyszerűen el tudja lopni a beírt jelszót. Ennek birtokában pedig bármire képes.

Gondolom a trükköket még órákig tudta volna Sebastian prezentálni, de sajnos lejárt az ideje, bár azt gondolom, hogy ennyi is elég volt a megjelent fontos embereknek. Láttam a vezetők arcán hogy ugyan mosolyognak, mert a fiatalember humoros, szórakoztató formában adta elő a műsorát, de mindenkinek a szemében azért ott volt a megdöbbenés. Ugyan a bemutatott példák nagy része sarkított helyzet, de a Schreiberrel készült interjúnkból is kiderült, hogy a legtöbb esetben még mindig a banálisnak mondható hibákat követnek el a felhasználók és a rendszergazdák. Az emberi hülyeség ellen nincs frissítés, a frissítések elmulasztása viszont emberi hülyeség. Vigyázat!