Hacktivity 2010

Ismét csak pár gondolat, viccesebb, vagy elgondolkoztatóbb idézet, megállapítás az idei konferenciáról:

  • Egy alap Windows telepítés önmagában is sok ezer fájlból és könyvtárból áll. Azért, hogy az igazságügyi szakértőnek ne kelljen minden egyes fájlt egyesével átnéznie, léteznek hash adatbázisok, amelyek a népszerűbb operációs rendszerek és programok fájljainak hash értékét tartalmazzák. Egy ilyet találtam: National Software Reference Library (NSRL) Project.
  • Sleuth kit: http://www.sleuthkit.org/
    • Két érdekesebb funkció a leírásából: Create time lines of file activity; Lookup file hashes in a hash database. Az előbb említett NSRL-t is tudja használni.
    • Az Autospy képes a fájlok kiterjesztése és valós, tartalmon alapuló típusa közötti különbségekre felhívni a figyelmet.
  • Tehát ha fel akarod bosszantani a gépedet vizsgáló szakértőt, akkor előtte rakj fel egy Windowst meg pár másik programot, és futtass egy szkriptet, ami minden fájlban megváltoztat egy bitet.
  • A töredezettségmentesített merevlemez növeli az igazságügyi szakértő esélyeit, hogy egybefüggő fájlokat találjon a lemezen.
  • A szteganográfiai eszközöket ne hagyd azon a gépen, ahol az elrejtett információk is vannak. Sokat segíthet a felkutatásban, ha tudják mit kell keresni.
  • Ugyanígy, ha a Windows fájljai közé rejtesz információt, az hamar kiderülhet egy hash adatbázis segítségével.
  • A programok által háttérben használt ideiglenes fájlokat nem törli (és írja felül) a secure wipe, úgyhogy jobb az egész merevlemezt titkosítani.
  • „Jogsértések vannak az interneten. Ilyenek történnek állítólag.”
  • A másolás nem lesz [újra] drága... a macskát nem lehet visszarakni a zsákba.
  • „Azért is neveztem guminőnek, mert akármit meg lehet vele csinálni.”
  • Céges belépőkártya hamisítása magánokirathamisítás lehet. Social engineering esetén érdemesebb az ügyféltől egy inaktivált kártyát kérni, és azzal próbálkozni.
  • „Mondjuk 1024-szer, hogy kerek szám legyen.”
  • Jogellenesen gyűjtött bizonyíték-e az, amit az igazságügyi szakértő szakért (szakértő adott), de őt még nem fizették ki?
  • Ártatlanságot alátámasztó adatok is lehetnek az gépeken. A számítógép általában tanúja a cselekményeknek.
  • Hálózati forgalomról is ajánlott hash-t készíteni, ezzel bizonyítva, hogy később nem piszkálták meg.
  • Angliában, USA-ban a folyamat a hiteles, itthon a szakértőt fogadják el igazmondónak.
  • Twitter, Facebook: az a baj, hogy hiteles forrásnak tekintjük.
  • Mi a jó stratégia, ha szájára vesz az internet? Kommunikációról van szó, nem technológiai kérdésről.
  • „Kérdés? Megjegyzést? Tiporjatok sárba nagy nyilvánosság előtt.”
  • JTAG felület akár támadási lehetőség is lehet.
  • Infrás távirányítóval is lehet buffer overflow-t okozni.
  • Ügyes multiplexer/demultiplexer set top boxhoz: Amikor az eszköz ellenőrzi a memória valódiságát, akkor az eredeti memóriacsiphez továbbítja a kéréseket, egyébként pedig egy saját, módosított IC-hez. Általánosságban utóbbiba ír, onnan olvas, onnan futtat kódot.
  • Titkosítási bukó: Háború idején, kódkönyv csere után megjelentettek egy érdekes cikket az egyik újságban. Az itteni nagykövet titkosítva hazaküldte a tartalmát. Az üzenetet elfogták, így kaptak egy ismert nyílt szöveghez egy titkosított változatot, aminek a segítségével már nem volt nehéz feltörni a többi üzenetet.
  • [A vírusokról szóló előadás közben nem akart lapozni a Power Point]: „Na mi történt itt? Vírus?!”
  • Fordított logika: Nem a vírusokat akarjuk keresgetni, hanem inkább a fájlok épségét, egészségét ellenőrizni. Ha megbizonyosodunk futtatás előtt, hogy a futtatandó fájl ugyanaz, mint ami eddig volt, akkor az esetlegesen belekerült vírusról azonnal értesülünk. A lappangási idő nulla lesz, ami nagyon rontja a vírusok terjedési esélyeit.
  • A Cisco eszközök legnagyobb védelme, hogy túl sok fajta firmware-rel futnak, nem egységes platform.
  • [Nyereménysorsolásnál]: „Valakit megátkoztak egy HP laptoppal. A többiek pedig felkerültek a HP spamlistára.”
  • Ha egy SitePlayer webszervert összecelluxozunk egy 9 Voltos elemmel, majd eldugjuk egy fali ethernet csatlakozóba. A hálózatosok el lesznek vele egy darabig, amíg megtalálják.
  • Vajon hack-elt belépővel menni egy ilyen konferenciára mennyire tűrt dolog?
Tartalom átvétel