2017. november 9., csütörtök 11:53
Megint sikeresek voltak a Budapesti Műszaki és Gazdaságtudományi Egyetem infóbiztonsági kutatói, a CrySyS Lab kutatóműhelyből indult hekkerek. A !SpamAndHex néven futó csapat most kétezer csapat közt nevezett be a Google CTF 2017 versenyre, és a zürichi döntőn, ahol már csak tíz csapat mérte össze az informatikai biztonsággal kapcsolatos tudását, a második helyet szerezték meg.
A csapatnak tizenöt aktív tagja van, akiknek egy része még a BME-n tanul, de vannak köztük volt diákok is, akik már olyan neves infóbiztonsági cégeknél dolgoznak, mint a Balabit, a Tresorit, vagy éppen a Google biztonsági csapatának a tagjai.
A zürichi versenyen a szervezők által előkészített feladványoakt kellett megoldani, vagy ahogy a közleményükben fogalmaznak:
olyan ez, mint a BKK hack, csak bonyolultabb
Fel kell törni titkosított adatokat, vissza kell fejteni kódokat, sérülékenységeket kell megtalálni és kihasználni a verseny során, a lehető leggyorsabban.
A Tresorit szakértői egy kisokost is összeállítottak ezekről a témákról, ezt szó szerint idemásoljuk, mert nagyon jól összeszedték, hogy mit kell tudni ezekről a feladatokról.
- Kriptográfia: különböző adattitkosítási és védelmi mechanizmusokat kellett megtörni, kijátszani. Esetenként a feladatok már ismert és megbukott kriptográfiai megoldásokat mintáznak. Ilyen volt például az a hiba, ami a PlayStation 3 mester kulcsának feltörésében is szerepet játszott. Volt olyan feladat, amit Daniel Bleichenbacher készített, aki a szakma elismert kriptográfusa és a nevéhez fűződik több, a kilencvenes évek végén felfedezett gyakorlati támadás, amelyek miatt az akkoriban használt titkosítási eljárásokat modernebbre kellett leváltani.
- Web: tipikusan a web mindennapi sérülékenységeinek trükkösen kihasználható, így megfelelő kihívást nyújtó változatai. „Ezek hasonló jellegű sérülékenységek, mint a BKK nemrég felfedezett esete, csak persze jóval bonyolultabbak. Tekintve, hogy a szervező Google egy főleg webes szolgáltatásokat nyújtó cég, a feladatkészítők a Google Security csapatából kerültek ki. Ők mindennap a legkörmönfontabb támadásokat hárítják el a kereső óriás ellen, így nem meglepő, hogy nagyon magas színvonalú feladatokkal találkozhattunk ebben a kategóriában is” – mondja Hegedűs Tamás, a csapat hackere.
- Reverse engineering: vagyis a programok visszafejtése. A programok visszafejtése során a szakértők egyrészt meg akarják érteni egy program belső működését, másrészt megpróbálnak új vagy rejtett funkciókat találni. A Google versenyén többek között egy valódi nyerőgép működésének a megértése volt a feladat, rá kellett jönni, hogyan lehet megnyerni a jackpotot. Ehhez szét kellett csavarozni a gépet, le kellett tölteni a rajta szereplő programot, majd rájönni, hogy hogyan lehet feltörni azt és így rávenni a nyerésre.
- Pwning: a számítógépek alacsony szintű feltörésének művészete: ilyenkor egy hátsó kapu nélküli, elméletben helyesen működő rendszerben kell hibát találni és tipikusan távolról, fizikai hozzáférés nélkül, feltörni egy szerver típusú rendszert. A pwning az "own" szóból származik és azt jelenti, hogy a saját uralmunk alá vonjuk, tehát kvázi birtokoljuk más rendszerét. Ezek a feladatok tipikusan olyan, mindennapi szoftvereinkben használt hibákat mintáznak, amelyek segítségével mobiltelefonokat, böngészőket, operációs rendszereket törnek fel a jó- és rosszindulatú hackerek.