Rejtett eljárások Androidon

Női előadót tisztelhettünk Axelle Apvrille személyében, aki az Android Dalvik Executables (DEX) programokról szólva bemutatta, hogyan lehet egy eljárást könnyen elrejteni. Kicsit a rootkites hookra emlékeztetően a kísérleti (PoC, Proof of Concept) kódjában az elrejtett eljárás láthatóságát nem csak ki-be lehetett kapcsolni, de meg is lehetett azt hívni.

Axelle Apvrille

A rejtés hatására a szokványos dissasemblerek (baksmali, apktool, Androguard, IDA Pro stb.) egyáltalán nem érzékelték. Az ellenőrzési módszerek hiánya miatt egy ilyen technika esetleges alkalmazása valós veszélyt jelenthet például egy jövőbeni rejtőzködő kártevő formájában, azonban egyúttal bemutatásra került az a módszer is, amellyel sikeresen lehet az ilyen rejtett kódokat kimutatni.

Két előadás között aztán nem is workshopra, hanem egész pontosan termékbemutató előadásra jutott egy kis időnk, így a földszinti kisebb termek egyikében a Secunia alkalmazás patch menedzsment eszközéről hallhattunk pár szót Kocsis Tamástól és Rácz Balázstól. Többek közt megmutatták, hogy a Secunia CSI, azaz Corporate Software Inspector hogyan képes az alkalmazásfrissítési munkában segíteni a nagyvállalatoknál: a tesztelt frissítésekből egyszerűen csomagokat állíthatunk össze, ezek a Windows környezetben azonnal használhatók, míg Macintosh illetve Linux környezetben csak listát kapunk ezekről. Élhetünk ezek mellett a rendszeres frissítési értesítésekre való feliratkozási lehetőséggel is, amely szintén hasznos segítség lehet. Magánemberek esetében a Linux általában mindent frissít, a Windows futtatásakor a PSI (Secunia Personal Software Inspector) segíthet a naprakészen tartásban, és a Mac rendszereknél is létezik megoldás, hiszen az ottani update csak az Apple szoftvereket frissíti: ez pedig az AppBodega program, köszönet érte Wollner Zolinak!

Utolsóként Tóth László és Spala Ferenc előadását láthattuk "Mi a közös az Oracle-ben és Samsungban? Új szemszögből vizsgálják a titkosítást" címmel. Az Androiddal szemben a Samsung változtatott a titkosítási módszerén, például 128 helyett 256 bites kulcsot használt, és nincs benne zero padding sem, ám a szakemberek mégis sikeresen tudtak hozzáférni a jelszóhoz.

Tóth László és Spala Ferenc

Demójukkal pedig azt is megmutatták, hogy a Samsung eszközök által használt lemeztitkosítást hogyan lehetett megkerülni, és mégis hozzáférni a titkosított tárhely tartalmához. Ehhez a Sandy nevű Python programot, valamint saját fejlesztésű John the Ripper moduljukat is bevetették. A fejlesztők számára mindebből talán az is tanulság lehet, hogy a kulcsokat, jelszavakat alaposabban el kell tüntetni a memóriából, valamint a TrustZone technológia sem mindenható.

Összegezve a két napot, szépen bevált, hogy a prezentáció során vetített diák mindig angol nyelvűek voltak, míg az előadás szabadon lehetett akár magyar, akár angol. Dicséretesen sokan éltek az angol előadás lehetőségével, így a jelen lévő külföldiek jobban értették, másfelől az előadások videofelvételei így sokkal szélesebb közönséghez tudnak majd eljutni, és néhányan talán külföldi hackerkonferenciákon is előadhatnak majd.

Mindent egybevetve tartalmas két napot tudhatunk magunk mögött, kedvet és ötleteket nyerhettünk, lesz persze mit kipihenni is, de remélhetőleg minden résztvevőnek tele van már a feje azokkal a tervekkel, hogy legközelebb mit szeretne próbálgatni, letesztelni, elolvasni, megnézni, visszafejteni, szétszerelni, meghackelni.

Az írás először az Antivírus blogon jelent meg, de a szerző azért, hogy lényegesen nagyobb olvasóközönséget érjen el, felajánlotta közlésre az IT café részére is. Olvasóink nevében is köszönjük!