Szerző: Ady Krisztián

2006. december 12. 11:23

Banki szoftvereket törtek biztonságtechnikai játékként egyetemi csapatok

[heise-security] Nem kevesebb mint 25 egyetemi csapat versengett a hétvégén egy érdekes nemzetközi megmérettetésen: a Capture the Flag (CTF) hacking-versenyt a kaliforniai Santa Barbara Egyetem (UCSB) hirdette meg. A babérokat a We_0wn_Y0u, a Bécsi Műszaki Egyetem csapata aratta le, második a Darmstadti Műszaki Egyetem válogatottja, a Wizards of DoS lett, míg a harmadik helyet a dél-floridai Tampai Egyetem csapata, a WCSC szerezte meg.

[heise-security] Nem kevesebb mint 25 egyetemi csapat versengett a hétvégén egy érdekes nemzetközi megmérettetésen: a Capture the Flag (CTF) hacking-versenyt a kaliforniai Santa Barbara Egyetem (UCSB) hirdette meg. A babérokat a We_0wn_Y0u, a Bécsi Műszaki Egyetem csapata aratta le, második a Darmstadti Műszaki Egyetem válogatottja, a Wizards of DoS lett, míg a harmadik helyet a dél-floridai Tampai Egyetem csapata, a WCSC szerezte meg.

Virtuális bank

A 11 órán keresztül tartó verseny nem egyszerű webszerver-feltörő show volt. A csapatok pontosan ugyanazt a banki szervert tartalmazó WMWare lemezképet kapták meg, melyen számlákat üzemeltető, részvényekkel kereskedő és biztosítási szolgáltatások futottak. Ezek a szolgáltatások több nyelven voltak elérhetőek és számos biztonsági hibát is tartalmaztak. A csapatok egy-egy bankot képviseltek 1-1 millió dollárral a számláikon, akiknek nem csak a saját értékeiket kellett megvédeniük a támadások elől, hanem más bankoktól kellett pénzt szerezniük.

A versenyt az nyerte, aki a legtöbb pénzt szedte össze, miközben saját bankjának szolgáltatásait folyamatosan elérhetővé kellett tennie. A pénzt három módszerrel lehetett megszerezni: a véletlenszerűen tesztelt, működő szolgáltatásokért is pénzt lehetett kapni a "központi" banktól, illetve néhány speciális feladat megoldásáért is jutalom járt. A legtöbb pénzt azonban illegális úton lehetett beszerezni, más bankok feltörésével, egyszerű lopással lehetett növelni a csapatok egyenlegét. A biztonsági rések kutatását elősegítette, hogy mindegyik csapat annyi számlát nyitott a rivális bankoknál, amennyit csak akart.

A nyertes csapat

Nyertesek és vesztesek

A győztes csapat alaposan megalázta a többieket, hiszen a verseny végén keringő 15 millió dollárból nem kevesebb mint 12 millió a We_0wn_Y0u számláin ült. Miközben a csapat sikerrel tört meg más bankokat, kivédte a saját szerverét ért támadásokat úgy, hogy saját bankjuk elérhetőségén nem esett csorba. Számos csapat komoly veszteségeket szenvedett a verseny végére, volt olyan virtuális bank is, melynek csupán 637 dollárja maradt az induló egymilliós összegből.

A Capture the Flag verseny nem csak a szórakozásról szólt, hanem kitűnő gyakorlat volt az egyetemek diákjai számára is, hiszen a megmérettetés során egy átlagos példánál sokkal összetettebb környezetben tapasztalhatták meg a felmerülő biztonsági problémákat.

Mik azok a sötét mintázatok, vagy ahogy az angol nevezi őket, dark patternek? Miért találkozunk egyre többször velük és mit tehetünk, hogy ne kerüljünk a csapdájukba?

a címlapról