konf

Hacktivity 2010

Ismét csak pár gondolat, viccesebb, vagy elgondolkoztatóbb idézet, megállapítás az idei konferenciáról:

  • Egy alap Windows telepítés önmagában is sok ezer fájlból és könyvtárból áll. Azért, hogy az igazságügyi szakértőnek ne kelljen minden egyes fájlt egyesével átnéznie, léteznek hash adatbázisok, amelyek a népszerűbb operációs rendszerek és programok fájljainak hash értékét tartalmazzák. Egy ilyet találtam: National Software Reference Library (NSRL) Project.
  • Sleuth kit: http://www.sleuthkit.org/
    • Két érdekesebb funkció a leírásából: Create time lines of file activity; Lookup file hashes in a hash database. Az előbb említett NSRL-t is tudja használni.
    • Az Autospy képes a fájlok kiterjesztése és valós, tartalmon alapuló típusa közötti különbségekre felhívni a figyelmet.
  • Tehát ha fel akarod bosszantani a gépedet vizsgáló szakértőt, akkor előtte rakj fel egy Windowst meg pár másik programot, és futtass egy szkriptet, ami minden fájlban megváltoztat egy bitet.
  • A töredezettségmentesített merevlemez növeli az igazságügyi szakértő esélyeit, hogy egybefüggő fájlokat találjon a lemezen.
  • A szteganográfiai eszközöket ne hagyd azon a gépen, ahol az elrejtett információk is vannak. Sokat segíthet a felkutatásban, ha tudják mit kell keresni.
  • Ugyanígy, ha a Windows fájljai közé rejtesz információt, az hamar kiderülhet egy hash adatbázis segítségével.
  • A programok által háttérben használt ideiglenes fájlokat nem törli (és írja felül) a secure wipe, úgyhogy jobb az egész merevlemezt titkosítani.
  • „Jogsértések vannak az interneten. Ilyenek történnek állítólag.”
  • A másolás nem lesz [újra] drága... a macskát nem lehet visszarakni a zsákba.
  • „Azért is neveztem guminőnek, mert akármit meg lehet vele csinálni.”
  • Céges belépőkártya hamisítása magánokirathamisítás lehet. Social engineering esetén érdemesebb az ügyféltől egy inaktivált kártyát kérni, és azzal próbálkozni.
  • „Mondjuk 1024-szer, hogy kerek szám legyen.”
  • Jogellenesen gyűjtött bizonyíték-e az, amit az igazságügyi szakértő szakért (szakértő adott), de őt még nem fizették ki?
  • Ártatlanságot alátámasztó adatok is lehetnek az gépeken. A számítógép általában tanúja a cselekményeknek.
  • Hálózati forgalomról is ajánlott hash-t készíteni, ezzel bizonyítva, hogy később nem piszkálták meg.
  • Angliában, USA-ban a folyamat a hiteles, itthon a szakértőt fogadják el igazmondónak.
  • Twitter, Facebook: az a baj, hogy hiteles forrásnak tekintjük.
  • Mi a jó stratégia, ha szájára vesz az internet? Kommunikációról van szó, nem technológiai kérdésről.
  • „Kérdés? Megjegyzést? Tiporjatok sárba nagy nyilvánosság előtt.”
  • JTAG felület akár támadási lehetőség is lehet.
  • Infrás távirányítóval is lehet buffer overflow-t okozni.
  • Ügyes multiplexer/demultiplexer set top boxhoz: Amikor az eszköz ellenőrzi a memória valódiságát, akkor az eredeti memóriacsiphez továbbítja a kéréseket, egyébként pedig egy saját, módosított IC-hez. Általánosságban utóbbiba ír, onnan olvas, onnan futtat kódot.
  • Titkosítási bukó: Háború idején, kódkönyv csere után megjelentettek egy érdekes cikket az egyik újságban. Az itteni nagykövet titkosítva hazaküldte a tartalmát. Az üzenetet elfogták, így kaptak egy ismert nyílt szöveghez egy titkosított változatot, aminek a segítségével már nem volt nehéz feltörni a többi üzenetet.
  • [A vírusokról szóló előadás közben nem akart lapozni a Power Point]: „Na mi történt itt? Vírus?!”
  • Fordított logika: Nem a vírusokat akarjuk keresgetni, hanem inkább a fájlok épségét, egészségét ellenőrizni. Ha megbizonyosodunk futtatás előtt, hogy a futtatandó fájl ugyanaz, mint ami eddig volt, akkor az esetlegesen belekerült vírusról azonnal értesülünk. A lappangási idő nulla lesz, ami nagyon rontja a vírusok terjedési esélyeit.
  • A Cisco eszközök legnagyobb védelme, hogy túl sok fajta firmware-rel futnak, nem egységes platform.
  • [Nyereménysorsolásnál]: „Valakit megátkoztak egy HP laptoppal. A többiek pedig felkerültek a HP spamlistára.”
  • Ha egy SitePlayer webszervert összecelluxozunk egy 9 Voltos elemmel, majd eldugjuk egy fali ethernet csatlakozóba. A hálózatosok el lesznek vele egy darabig, amíg megtalálják.
  • Vajon hack-elt belépővel menni egy ilyen konferenciára mennyire tűrt dolog?

Szabad Szoftver Konferencia és Kiállítás 2009

Szintén pontokba szedve pár gondolat:

  • Ami eddig elkerülte a figyelmem: FLOSSZine. Magyar.
  • dd if=/dev/zero of=testfile bs=1 count=1 seek=1048576k - Így pillanatok alatt lesz egy 1 gigabájtos fájlunk, tele nullákkal, az ext3 ritka fájl tulajdonságának köszönhetően.
  • „állatkert ábra” – tagfelhő
  • Érdemes lehet az adatokat JSON-ban, kicsomagolva tárolni a gyorsabb olvasás végett.
  • Egy egész jó ötlet: http://fixme.hu/uds
  • Az LVM-et lehet snapshot-olni. Mentésekhez egész kényelmes lehet.

Hacktivity 2009

Három év és két kihagyott Hacktivity után idén ismét kimentem a rendezvényre. Most nézem a lemaradást. Voltak érdekes dolgok. Azt pedig már el is felejtettem, hogy ilyenkor mindig megdobják az ember egy táskányi marketinganyaggal. Még jó, hogy hoztam hátizsákot, mert kézben nem sok kedvem lett volna egész nap cipelni az ajándéktáskát. Mondjuk a v1.0-n még nem volt ilyen nagy felhajtás.

Pár gondolat, viccesebb, vagy elgondolkoztatóbb idézet, megállapítás az idei konferenciáról:

  • „Akik szeretik a sötét hátterű dolgokat...” [putty/konzol ablak]
  • Nmap: kíváncsiságcsökkentő eszköz.
  • „$ ≠ ☺” – vagyis: a pénz nem boldogít.
  • „A személyes adat fizetőeszközzé vált." Például a konferencián is sört adtak CV leadásáért/kitöltéséért.
  • „Aki bezár egy zeneiskolát, az veszélyezteti a belbiztonságot.”
  • A karszalag is megjelöl. És simán elfogadjuk.
  • „Külföldi országokban is...”
  • „Aki bűnözni akar, az olvassa már el a Btk.-t.”
  • „Tudjátok mi az a best effort delivery? Magyar Posta.”
  • „Kiszűrtük a pornót, az nem érdekel minket.”
  • A dd-nek van (több) forensics verziója is. Érdemes megnézni a wikipédiás szócikkét. Ezek közül a Dcfldd tűnt a legérdekesebbnek, de a dd_rescue sem rossz. (De erről már írtam az adatmentős cikkemben.)
  • Szintén forensics: létezik olyan szoftver, ami összegyűjti az összes szót a merevlemezről. (Ha valaki talált, dobhatna linket kommentbe.)
  • Senki sem olvas el ezer oldalas doksikat, ha épp csak egy hello world-öt kell összedobni, így simán bekapcsolva maradnak az extra funkciók (amik netre kikerülve biztonsági hiányosságot jelentenek). Persze ha biztonságos beállításokkal szállítanák a rendszert, akkor más lenne a helyzet. Csak akkor valószínűleg tovább tartana a hello world-öt megírni. Örök dilemma.
  • Egy hasznos link: http://virustotal.com/
  • Egy érdekes eset: betárcsáztak az UPS-be (volt soroskábeles-modemes-telefonvonalas vezérlési lehetőség), onnan továbbmentek a LAN-os monitoring kábelen keresztül a helyi hálózat felé, majd feltörték a levelezőszervert. Tényleg igaz, hogy rajzolni kell egy kört a szerver körül, és védeni kell az összes kábelt, ami átmegy a körön. Plusz, ugye a wifit is. Valamint a soros portra dugott bluetooth-os „hosszabbító” és társai.
  • Netbankolás: dedikált Linux csak erre a célra jó ötlet. De ez mondjuk még nem véd a BIOS vírusok ellen.
  • Ha nincs digitális aláírással ellátott fake drivered a kernel mode-hoz, attól még felrakhatsz egy olyan régebbi driver-t, amin van jó digitális aláírás, és tartalmaz olyan hibát is, amit ki tudsz használni.

Egy kis kritika: tényleg el kell mondani, hogy mi az az nmap, SSL, valamint XOR titkosítás? Lehet, hogy inkább egy starter kitet kellene összedobni a konferenciához. Az előadások tematikái alapján nem lenne nehéz összeállítani egy ilyen listát.

Pár dolog az utolsó előadásból (Alexin Zoltán: Az egészségügyi adatvédelem jogi problémái), amin elég kevesen voltak, de szerintem a konferencia legjobb előadása volt:

  • A magánszférában benne vannak az egészségügyi adatok is.
  • Az önkéntes beleegyezést az egészségügyi adatokról nem lehet visszavonni. A törvényben nincs benne, a bíróság meg úgy értelmezi, hogy akkor nem is lehetséges.
  • Az egészségügyi adatkezelés, adatközlés a törvényekben önkéntesként van feltüntetve, de a bíróság kényszerként értelmezi.
  • Érdekes kérdés, hogy az orvosnak ki kell-e adnia a gyereknek az adatokat a szülőről, ha őt is érinti. (Például öröklődő betegségek esetén.) Valahol külföldön volt egy ilyen per.

Azt hiszem megyek jövőre is. A program tetszett, meg jó volt összefutni pár régebbi és újabb arccal.

Tartalom átvétel