Gülüszemű szörnyek, borostyán terminálok
Érdekesség, hogy bár biztonságtudatos informatikusokról van szó, 92 százalékban a titkosítatlan vendéghálózatot használták, és csak 8 százalék választotta a titkosított csatornát.
(Aruba sajtó a Hacktivityről)
Ezek szerint volt, aki fel tudott jutni a hacktivity-secure hálózatra. Én öt perc bitkolbász után átmentem az openre, és felmentem rajta VPN-re.
– Nem te tartottál előadást hackerekről egy Star Trek conon?
– De, de abban a teremben maximum nyolcan voltak.
– Én voltam az egyik.
A Hacktivity szezon végére két linkem maradt:
Holnap reggel kilenctől A sas leszállt krú vendégeként arról fogok beszélgetni a Tiloson, hogy mit lát az ember egy hackerkonferencián vagy valami ilyesmi. Netes élő adás van, letölthető verzió lesz.
Frissítve
Reggel, kávé, szendvics, kóla, internet.
Andrei kezd, arról beszél, hogy egy öt éven keresztül futó, telefonfüggetlenítésre használható kalkulátorokat kínáló oldallal mennyi személyes adatot lehet(ne) összegyűjteni. Úgy kezdődik, hogy minden információ, amit a böngésző hajlandó elárulni (IP, OS, böngésző típus, verzió és a többi), aztán az IMEI szám, mobil típusa, szolgáltató. Az információkat szupport emailt üzemeltetve, a témával foglalkozó fórumokat megfigyelve tovább lehet pontosítani. További eszközökkel - mesterkód generátor - a telefonok egyéb jellegű mozgása is követhető.
A végeredmény 12,7 millió rekord, amiből 9,5 millió egyedi rekord. Ebből lehetett volna adatbázist építeni, eladni a mobilszolgáltatóknak, akik szürkelistát építenek belőle. Akik esetleg a DB árát úgy dolgozzák le, hogy eladják más szolgáltatóknak, bankoknak. Aki magának “szervizelte” a saját néven levő telefonját, az most gondolkodjon el azon, hogy mennyi adatot adott cserébe a kódért.
Kóla, kóla, gyorskaja kólával.
A PET Portálos Szili Dávid előadására valahol az első harmad környékén estem be, előtte hiábavaló kísérletet tettem arra, hogy megértsem egy Cisco rendszermérnök előadását a BGP protokoll sebezhetőségéről. (Akit érdekel a téma, annak Buherátor összeszedte a vonatkozó dokumentumokat.)
Amit elkaptam az viszont pont az eszközökről szóló rész volt. Here’s to the crazy ones:
A remek szoftvereknek egy komolyabb hátránya van, kényelmetlenül lelassítják a böngészést. Illetve a levelezést is, de ott egyszerűbb túlélni tíz óra késést. Nyitott kérdés, hogy az emberek tesznek le hamarabb arról, hogy anonim böngésszenek - most is a töredéket érdekli - vagy az eszközök gyorsulnak fel. De legalább a Firefox integrációval már elég jól állnak, többnek van egyszerű és kényelmes pluginje, még ha a TorButton folyamatosan tökéletesítőt keres is.
Mellékszál, de a kötőjeles .eu TLD alatt levő PET portál az év legkínosabban félreüthető címe, a kötőjeltelen .hu-s oldalon kisállattartóknak létrehozott közösségi oldal van. Szemeztem vagy két percet a login mező felett figyelő leguánnal, míg rájöttem, hogy nem jó helyen járok.
Még ebéd előtt volt remek wifi sebezhetőség vizsgálat. Nem a routert, nem a használt titkosítást támadták, hanem a wifikártyák driverét. A módszer előnye, hogy a tűzfal, titkosítások és hitelesítések előtt található, ráadásul local system jog szerezhető vele. Hátránya lehetne, hogy nagyon kell tudni hozzá programozni, de valójában kerül hozzá exploit. A mit lehet ellene csinálni kérdésre annyi választ kaptam: frissíteni a drivereket. A múltkori ‘bár van újabb, de a HP nem írta alá, ezért nem rakhatod fel’ videódriver kalandom után ez nem annyira nyugtatott meg.
Erre tovább:
Cyberpunk momentummal indul a nap - gondolta Stirlitz, miközben esik rá az eső és dobozos koffeint iszik sportszelettel. Akkor még nem tudja, hogy egy órát fog állni a hidegbe míg be fog jutni a konferenciára.
A sorbaállás miatt csak a felére értem be Sík Zoltán Nándor információs hadviselés előadására, de még így is sikerült elkapni a nap kifejezését: “Gibson-warfare”. A szép szókapcsolat a negyedik generációs hadviselést rejti, amikor már nem látják egymást a harcolók, nincsenek frontvonalak, nem is államok vívják, hanem érdekszövetségek, és valójában nem is a csaták megnyerése a cél, hanem a közvéleményé. A wikipédia szócikk erre van a témáról, még csak beleolvasni volt időm, a kávé fontosabb.
*
Egy kormányszóvivő.hu-nyi pénzből kell kriptó törő berendezést venni, mit célszerű? Az előadó számai szerint a 200 millióból megvehető P4-es gépeknél nagyjából kilencvenszer gyorsabban tör hasht egy FPGA-kból épített ügyes kluszter. Az FPGA támogatás ráadásul benne van a BackTrack 3-ban, használható WEP, WPA és még sok minden más törésre is. Ja, és FPGA-ból van remek PCMCIA-s megoldás is. Olvasnivaló az NSA@home oldal, ‘dolgok amikhez kicsi vagyok’ jeligére.
*
Nem lett halottja a merre tovább magyar hackerek vitának. Annak ellenére sem, hogy az asztalnál három nem hacker és Buherátor ült. Annak ellenére sem, hogy a klasszikus ESR-féle “hacker az, akit mások annak tartanak” meghatározástól a Krasznay-féle “hacker az, akit a média annak tart” meghatározásig ezer különböző dolgot értettünk a szó alatt. (Külön vicces, hogy a nézőtéren ülő hackerek és érdeklődők túl szűknek érezték az általunk használt hackerfogalmat.)
Továbbra sem tudjuk, hogy hány magyar hacker van (5-40 között valamennyi) és hogy van-e közösség (van-nincs). Az viszont már biztos, hogy hacker az lehet aki az egészségesnél is kíváncsibb és fel tudja tenni a jó kérdéseket. Ez is valami.
Arról már volt szó, hogy lesz Hova tart a magyar hackerség vita Andrei-jel, Buherátorral, Krasznay Csabával és a közönséggel, ezt most mellőzzük is.
Viszont Buherátor beszél az SQL injectionről, közben pedig Veres-Szentkirályi András a jelszavak és titkosírások nagyipari visszafejtését ismerteti. Utána haladó wifi törés, amiről nem lehet eleget beszélni, másnap pedig lesznek majd szivárványtáblák is. Lesz némi privacy, és ha elég kávét tudok magamba dönteni vasárnap reggel, akkor talán valamit felfogok a kvantumkriptográfiás előadásról is.
Összegezve: gyertek Hacktivity-re, mert az jó. A jegy egyelőre 6k pénz, később 8k lesz.