Barta Csaba

A NetAcademia oktatója, Barta Csaba nemrég olyan biztonsági rés kiaknázására mutatott valós példát, melyre eddig csak elméleti lehetőségként tekintettek a szakmában. „A kártékony kód hatékonyságát jól mutatja, hogy a tesztek során a vírusirtó programok sem fedezték fel. Ráadásul a legújabb operációs rendszerek, így a Windows 7 és a Windows Server 2008 legfrissebb, naprakész verziói alatt is fut” – mondta el a bejelentés kapcsán Barta Csaba.

A szóban forgó rootkitről Fóti Marcellt, a NetAcademia Oktatóközpont vezető oktatóját, cégvezetőjét kérdeztük. Fóti elmondta, hogy ezt a megoldást Barta Csaba – aki főállásban a Deloitte-nál „kibernyomozó”, forensic investigator – oktatási céllal fejlesztette. A rootkit megvalósít több olyan támadást, amiről csak spekulációk keringtek, hogy vajon egyáltalán kivitelezhetőek-e. A sikeres támadásokhoz a rootikitnek fent kell lennie a gépen, ezért fontos, hogy a kódot semmilyen víruskergető nem ismeri fel (ma még).

Életveszélyes

És hogy mit tud? A legütősebb talán a Windows-jelszavak ide-oda állítása anélkül, hogy a Windows ezt észlelné, így hiába van bekapcsolva tetszőleges logolás, a naplóban nem látszik semmi. Ha fent van egy gépen a rootkit, bármelyik felhasználó kitörölheti az adminisztrátor jelszavát: belép, „rendet csinál”, kilép, és visszaállítja a hosszú-bonyolult jelszót, amit valójában nem is ismer. A támadás neve: Cached Data Attack. Onnan kapta a nevét, hogy a jelszavakkal a memóriában (cache) zsonglőrködik; ha újraindítják a gépet, minden visszaáll az eredetire.

Egy másik komoly támadás az egymás felhasználói identitásának átvétele, Access Token Stealing. Itt szintén jelszó, jogosultság és bármi nélkül lehet személyiséget cserélni azon az elven, hogy a memóriában át lehet írni a jogosultságot meghatározó Access Tokent a Windows tudta nélkül.

Felfigyeltek rá

A NetAcademia ezt a megoldást mutatta be novemberben Miamiban a Hacker Halted konferencián. A megoldás igen sok nemzetközi elismerésben részesült, és Barta Csaba lett a konferencia legjobb előadója. A magyar szakemberek ekkor úgy döntöttek, ezt a megoldást meg kellene mutatni mindenkinek, mert modern, érdekes, egyedi, tanulságos. Az EC Councilnál nyitott ajtókra találtak, mert a most készülő és márciusban debütáló Certified Ethical Hacker képzés 7. verziójának az a mottója, hogy Engineered by hackers.

„Technikai szempontból nagyon érdekes a NetAcademia megoldása, ugyanakkor egy szép példa arra is, hogy a biztonsági szakembereknek folyamatos éberségre van szükségük. Ezért döntöttünk úgy, hogy ezzel az eszközzel is bővítjük az Ethical Hacking képzés tananyagát” – mondta Sean Lim, az EC-Council alelnöke a tematikabővítés kapcsán. „A kártékony kódot természetesen eljuttattuk a vírusirtó cégek felé, így már nem felderíthetetlen többé, de mint megoldás, továbbra is nagyon tanulságos” – tette hozzá Lim.

Így a rootkit tananyag lett. Maga az oktatás egy 40 órás képzés, melynek a végén a hallgatók nemzetközi érvényű Certified Ethical Hacker vizsgát tehetnek. A magyar felfedezést is tartalmazó, 7-es verziószámú Ethical Hacking tananyag – mely alapján többek közt az Amerikai Egyesült Államok Védelmi Minisztériumának informatikai biztonságért felelős szakembereit is képzik – idén március közepétől lesz elérhető az EC-Council képviselettel rendelkező országokban, így Magyarországon is.

A NetAcademia is ezt a képzést tartja hazánkban immár három éve. Eddig közel négyszáz résztvevő végezte el, ami Hollandiával vetekedő képzettségi szint ezen a kiemelt területen.