Ugrás a lényegre

Hacktivity 2013

· 4 perc olvasmány

Október második hétvégéjén megrendezésre került Magyarország egyik legszínvonalasabb IT biztonsági fesztiválja, amin mi is részt vettünk.

Hacktivity Logó

A konferencia előtti héten egy előzetes wargame zajlott le, amiért a Securiteam felelt. Ebben különböző nehézségű IT biztonsági témájú feladattal küzdhettek meg a résztvevők, több kevesebb sikerrel.

Az előadások péntek reggel kezdődtek, a MOM Kulturális Központban, ahol kedves hoszteszlányok fogadták az érdeklődőket. A megnyitó után Charlie Miller – a Twitter biztonsági főnöke – beszélt a mobil operációs rendszereket fenyegető veszélyekről, összehasonlítva a saját eredményeit azzal, amit a sajtó kihozott belőle. Utána Mikko Hypponen – a finn F-Secure cég kutatási vezetője – a virtuális fegyverkezési versenyről számolt be. A hétvége során még számos neves magyar és külföldi előadó adott elő, ám ezen kívül más programokon is részt lehetett venni a konferencián.

Voltak workshopok, ahol a résztvevők a gyakorlatban is kipróbálhattak magukat. Voltak “Hello Workshopok”, ahova főleg azokat várták, akik a témához kevésbé értettek és betekintést akartak szerezni, és voltak haladóknak meghirdetett események is.

Az informatikai biztonsággal foglalkozók jelentős része a zártörésre vagy lockpickingre hobbiként tekint. A nagy érdeklődés miatt erre a Hacktivity-n is lehetőség volt, a hardware workshop keretében.

Az előadók közül találkoztunk Tamási Benjaminnal aki, “Hacking CCTV System” címmel tartott egy előadást a nagyteremben. Benjamin jelenleg gólyaként tölti a napjait a VIK-en, fiatal kora ellenére mindenkitől kivívta az elismerést. Vele folytattunk egy rövid beszélgetést.

Securiteam logó

Mióta foglalkozol hackeléssel?

15 évesen kezdtem azt hiszem, amikor megkaptam az első számítógépemet. Egyszerű vírusokkal játszottam, majd vírusírtókikerülési módszerekkel.

Honnan jött az ötlet, hogy a CCTV sérülékenységeivel foglalkozz?

Az ötlet onnan jött, hogy ugye tavaly még úgy mentem el Hacktivity-re, hogy jegyet nyertem rá. Idén is akartam menni, de csóró egyetemistaként 🙂 sokaltam az árát. (Bár akkor még nem is voltam egyetemista, még az érettségire készültem.) Haverommal, Tomcsányi Domonkossal beszéltem, és mondta, hogy pályáznom kéne valamivel és akkor mehetek ingyen, mint előadó. Közben ugye apukám biztonságtechnikai cégnél dolgozik, és hazahozott egy DVR-t, hogy elfelejtették rajta a jelszót, nem-e tudnám visszaállítani. Akkor vágtam bele a firmware visszafejtésébe. (Életemben előszőr próbáltam ilyesmit.) Aztán két nap szenvedés után sikerült, és gondoltam, ha már ennyit szenvedtem vele, megosztom a világgal, a módszerét. Felraktam a weboldalamra, aztán egyből gondoltam, hogy ez milyen jó kis téma lenne Hacktivity-re. Írtam a Hackivity CFP-re és hamarosan jött is a válasz, hogy nekik nagyon tetszik és hogy mehetek előadni.

Bejelentetted-e már a sérülékenységet?

Ezt kérdezték tőlem az előadás végén is, és a válaszom: NEM. Nem jelentettem be, azért mert ez a “sérülékenység” konkrétan egy gyárilag beépített “backdoor”. Tehát a gyártó tud róla, ez nem valami vulnerability, amit én fedeztem fel. A gyártó nagyonis tisztában van vele, hogy van neki egy Telnet kliense, ami root joggal fut, csak bízik abban, hogy senki nem tudja meg a mesterjelszót, amit sajnált akár shaddow-al is megvédeni… Egyébként ha a “sérülékenység” alatt arra a kis WebGUIs érdekességre gondolsz, akkor az tényleg hiba (gondolom nem honeypot), viszont nem tudsz vele mit kezdeni, mert ok, beléptél, de konkrétan se kamera képet nem kapsz, se semmi mást. Tehát semmire nem mész vele. Ezért csupán bug, nem vuln.

-Jövőbeli tervek?

Igen, igyekszem a átmenni a BSZ pótZHn. 🙂 Hát egyelőre BME-n szeretnék végezni, lediplomázni, remélem időn belül sikerül is, majd utána meglátom, hogy szeretnék-e továbbra is hackeléssel foglalkozni vagy inkább valami mással. (Bár a hackelés mint hobbi mindig ott lesz)

A CCTV rendszerek nagyon érdekelnek, amit legszívesebben csinálnék, az egy custom firmware az eszközre. Legszívesebben indítanék egy weboldalt, pl.: “custom-firmware.org” ahol mindenki feltehet saját “homebrew” firmware-eket eszközökre, amikkel bővíteni lehet a gyári tudásukat. Példa erre, Open-WRT, DD-WRT stb. Ezek routerekre nagyon jók, de én más készülékekre is akarnám. Sajnos nekem még a tudás nincs meg egy ilyen méretű projekthez, de majd egy napon meg szeretném csinálni. DVR-eken elképzeltem egy open source linux alapú firmware-t, amire mindenki azt rak amit akar, és egy open source szabványt, protokollt, amit a CCTV rendszerek használhatnak, illetve open source firmware-t, amit bármilyen eszközre lehet telepíteni. Ezt az open source közösség fejlesztené stb… (talán csak egy álom… de jól hangzik)

Forrás: Maginecz János, Barkaszi Richárd