A „komolyan” szó a Hacktivity esetében meglehetősen nehezen értelmezhető. Ennek oka, hogy a konferencia valóban olyan biztonsági kérdésekre hívja fel a figyelmet, amelyek napjainkban megkerülhetetlenek akkor, amikor az informatikai rendszerek vagy akár csak egy-egy számítógép védelméről kell gondoskodni. Viszont e kérdések boncolgatását korántsem oly módon teszi, ahogy azt más IT és/vagy biztonsági rendezvények esetében megszokhattuk. Egy Hacktivity-n ugyanis követelmény a lazaság és a közvetlenség. Itt nem kell attól tartaniuk a szervezőknek, hogy ha a program fél órát csúszik, akkor már röpködnek is a paradicsomok a pódium felé. Sőt előfordul, hogy az előadások közben blogoló és twittelő hallgatóság kéri, hogy még-még... Ez pedig arra is rámutat, hogy az ilyenkor elengedhetetlen sör, virsli és esti buli fényében a biztonság iránti érdeklődés is megvan a nézőkben.

A Hacktivity-t 2003-ban rendezték meg először, és azóta (2006 kivételével) minden évben jelen volt az eseménynaptárakban. Így érkeztünk el szeptember 19-én a hatodik konferenciához. A budapesti Gólyavár Rendezvényközpont bejárata előtt reggel kilenc körül kígyózó sor jelezte, hogy látogatókban nem lesz hiány. És nem is volt, hiszen a két előadóteremben a megnyitó előtt már igencsak keresgélni kellett a szabad helyeket. Idén a nézők mellett a szponzorok valamint az előadást tartani kívánó szakemberek számában is pozitív változás volt megfigyelhető. Így aztán minden adott volt, hogy elkezdődjön a rendezvény, amelynek nyitóelőadását Alexander Kornbrust, a Red Database Security alapítója tartotta meg, és az Oracle adatbázisok, illetve szolgáltatások sebezhetőségeiről beszélt.

A konferencia előadóinak abból a szempontból nem volt könnyű dolguk, hogy a rendezvény célközönsége meglehetősen tág határok között mozgott. A „felhasználóbarát IT biztonsági konferencia” szlogen ugyanis egyértelműen hangsúlyozta, hogy nemcsak a hekkerkedés iránt érdeklődő biztonsági szakembereknek szól a Hacktivity, hanem a felhasználóknak is. Ezért aztán nem volt könnyű megtalálni azt az arany középutat, amelynek köszönhetően a nézők között felbukkanó szakértők, informatikusok, fejlesztők, tanulók, stb. is megtalálhatták a számításukat. Összességében elmondható, hogy a bemutatók során a szakmaiság uralkodott, így azért akadtak olyan előadások, amelyeken a felhasználók kicsit elveszve érezhették magukat. De még több olyan volt, amelyeken viszont ők is pontosan átláthatták a veszélyeket, és kijelenthették: „Hűha, erre figyelnem kell nekem is.”

A kétnapos Hacktivity 2009 előadásai számtalan informatikai biztonsági területet fedtek le. Így például a hálózatbiztonság, a kártékony programok elleni védekezés, az adatbázis-biztonság, az internetes bűnözés valamint az adatvédelem, illetve a hekkerkedés jogi kérdései is terítékre kerültek. A következőkben kiemelünk néhány előadást, amelyek mondanivalója sokak számára tanulságokkal szolgálhat.

Kényelem vagy biztonság
A rendezvényen több előadó is érzékeltette, hogy a kényelem, a komplexitás és a biztonság olyan fogalmak, amelyek együttes jelenléte sokszor okoz problémákat. Alexander Kornbrust az Oracle kapcsán hívta fel minderre a figyelmet, hiszen elmondta, hogy az adatbázis-szolgáltatások mind komplexebbé válnak (gondoljunk csak az Oracle-ben meglévő mind több csomagra, eljárásra, funkcióra, stb.), és így a lehetséges biztonsági rések száma is növekszik. Ő maga több száz sérülékenységet fedezett már fel, amelyekből egy-kettőt be is mutatott. A szakember az Oracle APEX (Application Express) webalkalmazás-készítő eszközt sem hagyta ki, hiszen egy magyar weboldal kiválasztásával élőben szemléltette, hogy ha egy informatikai megoldás gyors és kényelemes fejlesztést tesz lehetővé, akkor a biztonság könnyedén háttérbe szorulhat. Ugyancsak ezt a problémás helyzetet ecsetelte Nemes Dániel, a Biztributor ügyvezető igazgatója, aki a Wi-Fi hálózatokkal és azok biztonságával foglalkozott az előadásában. A vezetéknélküli technológiák esetében is igaz, hogy nem érdemes időt spórolni a konfiguráláson, és e hálózatok topológiájának gondos megválasztásán. A hálózatok lehallgatási módszereit, és a MAC, DHCP és ARP alapú támadásokat ismertető, Cisco-t képviselő Ács György pedig azt érzékeltette, hogy a switch-ek biztonságos beállításával jó néhány problémát lehet megelőzni.

Webes fenyegetettségek
Mivel a webes támadások száma drasztikusan növekszik, ezért különösen aktuálisnak bizonyult a Stratis munkatársának, Kovács Zsombornak az előadása, aki webalkalmazások biztonsági vizsgálatai során szerzett tapasztalatokat osztotta meg a közönséggel. Elmondta, hogy a sérülékenységekhez sokszor a fejlesztések során megfigyelhető időhiány, a nem megfelelő programozási gyakorlat valamint a megrendelő bizonytalansága is hozzájárulhat. Kovács Zsombor a prezentációja során kitért a hitelesítés, a session-, a jogosultság- és a hibakezelés problémáira, az üzleti logikában esetlegesen megbújó gyenge pontokra, a felhasználói inputok hiányos kezelésére, az üzemeltetést megnehezítő tényezőkre valamint a beágyazott objektumok által jelentett kockázatokra is. Ezek azok a legfontosabb fejlesztési területek, amelyekre muszáj odafigyelni. Mindez persze több időt, munkát, energiát igényel, és egyáltalán nem jelent könnyű feladatot.

A webes veszélyeket Szappanos Gábor, a VirusBuster víruslaborjának vezetője is ecsetelte. Számos példát említett, és néhány kódrészlettel is szemléltette, hogy napjainkban a weboldalakról letöltődő kártékony programok miként igyekeznek végezni a feladatukat. A 2005 óta megfigyelhető változás, miszerint a „hobbiszerű”, ismertségre törekvő vírusírást felváltotta az anyagi haszonszerzés céljából folytatott kártevőterjesztés, a webes rosszindulatú programok esetében is érvényes. Egy-egy interneten megvásárolható vírus is több százezer dolláros haszonnal kecsegtet a bűnözők számára. A szakember szerint a vírusvédelem jövőjét tekintve fontos szerepet játszanak a folyamatos fejlesztések, a víruskeresőkbe épített emulátorok, a generikus felismerés valamint heurisztikus technológiák.

Kerekasztal az adatvédelemről
A Hacktivity szombati napját egy érdekes, pörgős kerekasztal-beszélgetés zárta, amelynek során jogászok, informatikusok, a Nemzeti Nyomozó Iroda munkatársa és nem utolsó sorban a hallgatóság vitatta meg az adatvédelem sokakat érintő kérdéseit. Olyan témák is felbukkantak, amelyek a számítógépekkel nem rendelkező személyeket is érzékenyen érintik, hiszen szóba került például a személyes adatok kezelése, valamint a mobilszolgáltatók által végzett, kötelező adattárolás. A beszélgetés egyik legfontosabb megállapítása az volt, hogy adott esetben nemcsak a bűnözőket és a csalókat terhelheti felelősség, hanem a szolgáltatókat valamint magukat a felhasználókat is. A szolgáltatói oldalon adatvédelmi, jogi, tájékoztatási és etikai felelősség is megjelenik. A kerekasztalon kibontakozó vita során újból megerősítést nyert, hogy a jogvédelem valamint a hatóságok munkája számos ponton konfliktusokat szül, amelyet a jog eszközeivel nehéz kezelni, nemcsak hazánkban, hanem többek között az EU-ban is. Felmerülhet a kérdés, hogy miért kell minden hívásról – még a sikertelenekről is – információkat megőrizni akár egy éven keresztül. Azonban amikor az eltárolt cellainformációk segítenek például egy sorozatgyilkosság felderítésében, akkor mégis csak el kell gondolkodni az adattárolás szükségességén. Valószínűleg a jövőben az adatok felhasználásával kapcsolatos jogi garanciák megerősítésére szükség lesz, csakúgy, mint a folyamatosan megújuló technológiák jogszabályok általi követésére.

Digitális mohács
A Hacktivity mögött meghúzódó komolyságot a Krasznay Csaba és Kovács László (ZMNE) által prezentált elődadás jól példázza. Ők ugyanis arról beszéltek, amitől még Barack Obama is tart: a kritikus infrastruktúrákat érő kibertámadásokról, amelyek országokat béníthatnak meg. A két szakember egy elképzelt támadássorozatot vázolt fel, amely akár Magyarországon is bekövetkezhet. Megemlítettek néhány példát arra, hogy az online média, a pénzügyi intézmények, a kormányzati rendszerek, a villamosenergia-ellátó hálózatok, a közlekedés és az internet miként válhat a támadók martalékává. Az előadás végén kezdődő kerekasztal-beszélgetés fő témája is a kritikus infrastruktúrák biztonságáról és azok megóvásáról szólt. A meghívott szakértők között némi vita alakult ki, hogy a kormányzatnak, a piaci szereplőknek és a felhasználóknak milyen lépéseket kell tenniük annak érdekében, hogy e nagyszabású támadások megelőzhetők legyenek. Annyi biztos, hogy koordináció és összefogás nélkül e téren nem igen lehet majd eredményeket elérni.

(Forrás: www.copmuterworld.hu)