Ethical Hacking Konferencia 2016 Budapest
Arról már olvashattál nálunk, hogy miért van szükség etikus hackerekre és mi is az a munka, amit ők végeznek. A május 12-én rendezett konferencián a Crosssec Solutions csapata is részt vett kiállítóként, és rendkívül sok hasznos és érdekes előadást hallgattunk meg. Ezekből szeretnénk egy kis ízelítőt bemutatni.
Veszélyes társ az irodában
A konferencia első, és egyben egyik legerősebb előadása a nagyvállalati nyomtatók és scannerek biztonsági hiányosságaival foglalkozott. Hambalkó Balázs és Ronyecz Gábor kutatása egy olyan területet érint, ami méltatlanul kis figyelmet kap az IT biztonság világában.
A legtöbben bele sem gondolnak abba, milyen hatalmas károkat tud okozni egy rosszul konfigurált irodai nyomtató. Vannak esetek, mikor még a gyártók sem.
Gondoljunk bele, az irodai nyomtatók sokszor csak ott állnak a folyosón, túl nagy figyelmet senki nem fordít rájuk. Az előadók több konkrét modell esetén is bemutatták, miként lehet megszerezni az összes bescannelt dokumentumot, vagy miként használhatók ezek a hálózati kapcsolattal rendelkező gépek ugródeszkaként egy átfogó hackertámadás során.
Az igazán aggasztó az, hogy a konferencián bemutatott 5 típus 3 nagy, széles körben ismert és használt márka esetében az új és régebbi eszközöket is egyaránt érintette.
Sőt, az előadók jelenleg is folyamatban lévő kutatása azt a lehetőséget is vizsgálja, hogy lehet-e távolról tüzet okozni ezekkel a nyomtatókkal. A lapszedés gyorsaságának módosításával a lézernyomtatók akár képesek is lehetnek olyan nagy teljesítménnyel működtetni a lézert, hogy az konkrétan tüzet okozhasson.
Érdeklődve várjuk, milyen eredményre jutnak.
Drónhackelés
A rendezvény egyik leginteraktívabb előadását Szabó Márktól hallottuk. A helyszínen, élőben mutatta be, milyen biztonsági hiányosságokkal küzdenek az egyik legismertebb és leginkább elterjedt minőségi dróngyártó cég, a Parrot AR drónjai.
Márk megmutatta, milyen módszerekkel vehetjük át az irányítást egy ilyen drón felett, illetve milyen veszélyeket rejt a nem körültekintően tervezett szoftverbiztonság.
A Lurdy mozi nagytermében reptetve megnéztük, milyen egyszerűen kényszerítheti lezuhanásra a drónt egy hacker. Sajnos úgy látszik ez egy olyan kockázat, amivel számolni kell, ezért a prémium árkategóriás drónok tulajdonosainak is érdemes elővigyázatosnak lenniük.
Védtelen eszközök az interneten
Marosi Attila prezentációjában bemutatta, hogy egy hozzáértő milyen kevés befektetett energiával, gyakorlatilag 15 perc alatt több ezer eszköz felett veheti át az irányítást az interneten.
Legyen szó routerekről, kamerákról, vagy akár ipari vezérlőrendszerekről, ingyenesen elérhető adatbázisok segítségével rengeteg eszközt használhatnak fel kibertámadásokra. Az ilyen adatbázisokban (mint például a Shodan) ingyenesen, vagy regisztrációs díj fejében bárki kedvére kereshet olyan készülékeket, amik felett gond nélkül átvehető az irányítás.
Rosszul beállított hálózati meghajtók, nyomtatók, vagy médiaszerverek segítségével nem csak az adatok ellopása jelenik meg veszélyként, de az eszközöket könnyen megtölthetik illegális tartalmakkal is.
Egy jótanácsot tudunk adni az előadás meghallgatása után: Mindenki frissítse a vezérlőszoftvereket és firmwareket, és ne hagyja meg a gyári alapértelmezett jelszavakat még egy otthoni router esetén sem!
Social Engineering és RFID hack
Manapság nagyon sok helyen használunk érintés nélküli eszközöket. Ezen az elven működnek az irodai belépőkártyák, bankkártyák is.
Oroszi Eszter és Heim Gábor megmutatta, milyen eszközöket használnak a hackerek az RFID technológia feltörésének során. Különösen örültünk annak, hogy a konferencia keretein belül szó esett az emberi tényező gyengeségeiről, a social engineeringről is.
Egy pár száz dolláros kütyüvel és egy antennával akár több méterről is könnyedén lemásolhatók bizonyos RFID kártyák.
A konferencián nagyon sok inspiráló, és érdekes előadást hallottunk a fentebb kiemelteken kívül is, és mi is szeretnénk bővebben utánajárni és ismertetni az elhangzottakat.
Örülünk, hogy részt vehettünk a rendezvényen, hatalmas élmény volt és külön köszönet a NetAcademia szervezőinek a meghívásért és a kiemelkedő szervezői munkáért!