Hacktivity 2009

Három év és két kihagyott Hacktivity után idén ismét kimentem a rendezvényre. Most nézem a lemaradást. Voltak érdekes dolgok. Azt pedig már el is felejtettem, hogy ilyenkor mindig megdobják az ember egy táskányi marketinganyaggal. Még jó, hogy hoztam hátizsákot, mert kézben nem sok kedvem lett volna egész nap cipelni az ajándéktáskát. Mondjuk a v1.0-n még nem volt ilyen nagy felhajtás.

Pár gondolat, viccesebb, vagy elgondolkoztatóbb idézet, megállapítás az idei konferenciáról:

  • „Akik szeretik a sötét hátterű dolgokat...” [putty/konzol ablak]
  • Nmap: kíváncsiságcsökkentő eszköz.
  • „$ ≠ ☺” – vagyis: a pénz nem boldogít.
  • „A személyes adat fizetőeszközzé vált." Például a konferencián is sört adtak CV leadásáért/kitöltéséért.
  • „Aki bezár egy zeneiskolát, az veszélyezteti a belbiztonságot.”
  • A karszalag is megjelöl. És simán elfogadjuk.
  • „Külföldi országokban is...”
  • „Aki bűnözni akar, az olvassa már el a Btk.-t.”
  • „Tudjátok mi az a best effort delivery? Magyar Posta.”
  • „Kiszűrtük a pornót, az nem érdekel minket.”
  • A dd-nek van (több) forensics verziója is. Érdemes megnézni a wikipédiás szócikkét. Ezek közül a Dcfldd tűnt a legérdekesebbnek, de a dd_rescue sem rossz. (De erről már írtam az adatmentős cikkemben.)
  • Szintén forensics: létezik olyan szoftver, ami összegyűjti az összes szót a merevlemezről. (Ha valaki talált, dobhatna linket kommentbe.)
  • Senki sem olvas el ezer oldalas doksikat, ha épp csak egy hello world-öt kell összedobni, így simán bekapcsolva maradnak az extra funkciók (amik netre kikerülve biztonsági hiányosságot jelentenek). Persze ha biztonságos beállításokkal szállítanák a rendszert, akkor más lenne a helyzet. Csak akkor valószínűleg tovább tartana a hello world-öt megírni. Örök dilemma.
  • Egy hasznos link: http://virustotal.com/
  • Egy érdekes eset: betárcsáztak az UPS-be (volt soroskábeles-modemes-telefonvonalas vezérlési lehetőség), onnan továbbmentek a LAN-os monitoring kábelen keresztül a helyi hálózat felé, majd feltörték a levelezőszervert. Tényleg igaz, hogy rajzolni kell egy kört a szerver körül, és védeni kell az összes kábelt, ami átmegy a körön. Plusz, ugye a wifit is. Valamint a soros portra dugott bluetooth-os „hosszabbító” és társai.
  • Netbankolás: dedikált Linux csak erre a célra jó ötlet. De ez mondjuk még nem véd a BIOS vírusok ellen.
  • Ha nincs digitális aláírással ellátott fake drivered a kernel mode-hoz, attól még felrakhatsz egy olyan régebbi driver-t, amin van jó digitális aláírás, és tartalmaz olyan hibát is, amit ki tudsz használni.

Egy kis kritika: tényleg el kell mondani, hogy mi az az nmap, SSL, valamint XOR titkosítás? Lehet, hogy inkább egy starter kitet kellene összedobni a konferenciához. Az előadások tematikái alapján nem lenne nehéz összeállítani egy ilyen listát.

Pár dolog az utolsó előadásból (Alexin Zoltán: Az egészségügyi adatvédelem jogi problémái), amin elég kevesen voltak, de szerintem a konferencia legjobb előadása volt:

  • A magánszférában benne vannak az egészségügyi adatok is.
  • Az önkéntes beleegyezést az egészségügyi adatokról nem lehet visszavonni. A törvényben nincs benne, a bíróság meg úgy értelmezi, hogy akkor nem is lehetséges.
  • Az egészségügyi adatkezelés, adatközlés a törvényekben önkéntesként van feltüntetve, de a bíróság kényszerként értelmezi.
  • Érdekes kérdés, hogy az orvosnak ki kell-e adnia a gyereknek az adatokat a szülőről, ha őt is érinti. (Például öröklődő betegségek esetén.) Valahol külföldön volt egy ilyen per.

Azt hiszem megyek jövőre is. A program tetszett, meg jó volt összefutni pár régebbi és újabb arccal.

Tartalom átvétel