ABT blog
A
Idén nyolcadik alkalommal került megrendezésre az Ethical Hacking konferencia a NetAcademia szervezésében, az előző évekhez hasonlóan színvonalas programmal és számtalan résztvevővel. Az egész napos előadás sorozatot idén workshopok, a gyártói standok programjai, valamint egy szabaduló szoba is színesítette.
Mivel az információbiztonság jelenleg talán legizgalmasabb témájáról van szó, én is részt vettem a rendezvényen, hogy beszámolhassak a tapasztalatokról.
Nem kétséges, hogy az információbiztonság, mint alkalmazott terület a jelenkor egyik legfelkapottabb hívószava is egyben. Az információ, a tudás birtoklása és védelme pedig ezzel együtt az egyik legfontosabb kihívás, amellyel egy vállalkozás szembesülhet. Erre az összefüggésre hívták fel a figyelmet az Ethical Hacking konferencia előadói a budapesti Kongresszusi Központban rendezett előadássorozaton. Az alábbiakban három előadást ismertetünk, amelyek a konferencia kis- és középvállalkozások számára legrelevánsabb információit tartalmazhatják.
Jól nézd meg kivel ismerkedsz
Reiter István a Tinder ismerkedős oldal Windows Phone operációs rendszerre fejlesztett alkalmazásán keresztül 
mutatta be, hogy milyen veszélyeket rejt magában, ha egy eszköznek vagy alkalmazásnak túl sok információ megosztását engedélyezzük. Az előadásból kiderült, hogy a Tinderen keresztül egy ismeretlen ember helyzete is száz méteres pontossággal kideríthető háromszögelés segítségével pusztán az oldal által továbbított pontos helyadatok miatt, valamint, hogy az általunk titkosnak vélt adatainkhoz olyanok is hozzáférnek, akiknek ehhez nem adtunk hozzáférést. Reiter több szcenáriót is felvázolt a kinyerhető adatok lehetséges rosszindulatú felhasználására vonatkozóan, amelyek közül egy lehetséges arcfelismerő program, vagy felhasználói adatbázis csak a legkevésbé nyugtalanító.
A biztonsági incidens felé vezető út is jószándékkal van kikövezve
Mindenki számára ismerős hollywoodi filmek tipikus jelenete, amikor a főszereplő magát pizza futárnak, karbantartónak, esetleg rovarirtónak kiadva jut be a szigorúan védett létesítményekbe, irodákba vagy lakásokba. Oroszi Eszter a munkája során megismert példákon keresztül mutatta be, hogyan működik ez a gyakorlatban. Vagyis, hogyan használható fel az emberi jóhiszeműség arra, hogy bejussunk egy céghez, megszerezzük a vállalati vagy személyes adatokat, vagy elhelyezzünk egy eszközt, amely folyamatosan kémkedik a kompromittált hálózatban. A Grid Zrt. jóvoltából az érdeklődők az előadást követően maguk is kipróbálhatták a látottakat egy social engineeringre specializált szabaduló szobában, ahol a berendezés és a finoman (vagy kevésbé finoman) elrejtett információk segítségével egy számítógépen tárolt, kódolt fájl feltörése jelentette a kijutás kulcsát.
Gyári biztonsági rés az IP kamerákban - a mindenki által látható kamera
Tamási Benjámin intenzív előadás keretében mutatott rá az Internet of Things (a dolgok internete) legnagyobb tanulságára: csak azt kösd az internetre, amit nem féltesz, vagy amit tökéletes kontrol alatt tudsz tartani! Az okos eszközök – beleértve az olyan, hagyományosan „butának” tartott dolgokat, mint a TV-k vagy a kamerák – egyik kevésbé ismert sajátossága, hogy valamennyi ilyen eszköz valójában egy miniatűr számítógép is egyben. Ez a gyakorlatban azt jelenti, hogy a kijelző nélküli, vagy felhasználók számára nem hozzáférhető kezelőfelületekkel rendelkező eszközök is egy számítógéphez hasonlóan manipulálhatóak, feltörhetőek a megfelelő motiváció és szaktudás birtokában. A BME másodéves hallgatója az internetre kötött kamerák példáján keresztül mutatta be, hogy milyen veszélyeket rejt magában az ilyen okos eszközök terjedése. Tamási Benjámin kutatása során rájött, hogy számtalan, - valószínűleg azonos gyártói forrásból – származó más-más márkájú IP kamera azonos adminisztrátori (root) jelszóval kerül szállításra, majd frissítésre. Az adminisztrátori jelszó,- amely a publikálás óta széles körben ismerté vált- hátsó ajtóként (backdoor) használható egy hálózatra kötött kamera esetében. Az adminisztrátori hozzáférés segítségével a kamerán futó szoftver már szabadon módosítható, az eszköz által felvett kép pedig ennek megfelelően manipulálható vagy továbbítható egy tetszőleges cím irányába.
Tanulságok
Az Ethical Hacking Konferenciához hasonló rendezvények, mint például az őszi Hacktivity, vagy a szélesebb közönségnek szóló IT Biztonság Napja (ITBN) évről-évre nagy mértékben hozzájárulnak az információbiztonság egyre növekvő fontosságának közvetítéséhez, valamint az általános biztonságtudatosság emeléséhez. Az információbiztonság kétségkívül a következő évek egyik legfontosabb kérdésköre lesz mind a vállalkozások, mind a magánszemélyek számára. Az információbiztonság problémáinak kezelésében az első lépés, hogy számolunk velük, számunkra ez az Ethical Hacking Konferencia üzenete.
Az előadásokról készült videók – hasonlóan a korábbi évekhez – rövid időn belül elérhetőek lesznek a NetAcademia Youtube csatornáján is.
Megjelent: 2015. február 18. | Témakör: Üzlet
