Ezüstérmesek a magyar hackerek a Google világversenyén

Több mint kétezer csapat közül a hazai !SpamAndHex hackerei szerezték meg a második helyet a Google CTF 2017 versenyén, ezzel 7331 dollár pénznyereményt besöpörve - szép kerek számról van szó, hiszen ahogy biztosan sokan észrevették, az visszafelé az “1337” számot, azaz az online szlengben a “leet” kifejezést adja ki, amelyet egyebek mellett a technikai teljesítmény elismerésére használnak.

A Google CTF 2017 hackerversenyének Zürichben megrendezett döntőjére 10 csapat jutott be. A döntőn a magyar hackereken kívül két izraeli, két orosz, két tajvani, két japán és egy kínai csapat vett részt. "Számunkra ez a második hely a Las Vegas-i DEFCON CTF-en való szereplések mellett az egyik legjobb eredményünk. Nagy siker a csapat számára, hogy a világ legjobb csapatai ellen is sikeresen tudunk teljesíteni. A Google CTF-hez hasonló hackerversenyek rangja rengeteget nőtt az elmúlt években, a versenyzők a biztonsági szakma krémjéből kerülnek ki. Azokkal a biztonsági szakértőkkel versenyzünk, akik óriáscégek alkalmazásában profi szinten űzik a hackelést és vezetik a Google, a Microsoft vagy az Apple programjaiban sérülékenységeket találó hackerek listáit” – mondja Komáromy Dániel, a !SpamAndHex tagja.

A !SpamAndHex csapata a Budapesti Műszaki és Gazdaságtudományi Egyetem CrySyS Lab kutatóműhelyéből indult, 2013 óta rendszeresen vesznek részt hacker versenyeken. Egymás után háromszor is kijutottak a legrangosabb, Las Vegas-i versenyre, a DEFCON CTF-re. Jelenleg körülbelül 15 aktív tagjuk van, többségük a BME volt vagy jelenlegi diákja. A már végzett csapattagok nagyrészt IT biztonsággal foglalkozó cégeknél, például a Balabitnél és a Tresoritnál kamatoztatják szaktudásukat, illetve nagyobb cégek, mint például a Google biztonságért felelős csapataiban dolgoznak.

CTF: Szerezd meg a zászlót!

A zürichi verseny egy úgynevezett CTF (Capture The Flag) verseny, amelynek során a szervezők által készített biztonsági feladványokat kell megoldani. A cél minden esetben, hogy a csapatok hozzáférjenek egy bizonyos titokhoz, azaz "flaghez", zászlóhoz. A feladatok sokfélék, de közös bennük, hogy az adott titok minden esetben úgy szerezhető meg, biztonsági rések kihasználásával szerezhető meg.

„Személyesen négyen voltunk kint a döntőn, és mivel ezen a versenyen engedélyezve volt a távoli segítség lehetősége, ezért még hat csapattársunk segített otthonról. Öt kategóriában összesen 19 feladványra volt 36 óránk. Hogy egy feladat mennyi időt vesz igénybe, az változó, de jellemzően több óra kell mindegyikhez. Persze a megoldást kiadó támadás végrehajtása általában legfeljebb percek kérdése, a több óra arra kell, hogy felfedezzük a hibákat és kitaláljuk, hogyan használhatjuk ki őket” – meséli Koczka Tamás, a !SpamAndHex tagja.

Mint a BKK hack, csak bonyolultabb

A feladatok többek között kriptográfiai, webes, reverse engineering és pwning témákból kerültek ki. A kriptográfia kategóriában különböző adattitkosítási és védelmi mechanizmusokat kellett kijátszani. Esetenként a feladatok már ismert és megbukott kriptográfiai megoldásokat mintáznak, mint például a PlayStation 3 mesterkulcsának feltöréséhez is használt hiba. Volt olyan feladat, amit Daniel Bleichenbacher készített, aki a szakma elismert kriptográfusa és a nevéhez fűződik több, a kilencvenes évek végén felfedezett gyakorlati támadás, amelyek miatt az akkoriban használt titkosítási eljárásokat modernebbre kellett leváltani.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A webes feladatoknál tipikusan a mindennapi internetes sérülékenységek eggyel bonyolultabbb változatai bukkantak fel. „Ezek hasonló jellegű sérülékenységek, mint a BKK nemrég felfedezett esete, csak persze jóval bonyolultabbak. Tekintve, hogy a szervező Google egy főleg webes szolgáltatásokat nyújtó cég, a feladatkészítők a Google Security csapatából kerültek ki. Ők mindennap a legkörmönfontabb támadásokat hárítják el a kereső óriás ellen, így nem meglepő, hogy nagyon magas színvonalú feladatokkal találkozhattunk ebben a kategóriában is” – mondja Hegedűs Tamás, a csapat hackere.

A programok visszafejtésénél, vagy reverse engineering témakörben a Google versenyén többek között egy valódi nyerőgép működésének a megértése volt a feladat, rá kellett jönni, hogyan lehet megnyerni a jackpotot. Ehhez szét kellett csavarozni a gépet, le kellett tölteni a rajta szereplő programot, majd rájönni, hogy hogyan lehet feltörni azt és így rávenni a nyerésre.

A pwning, azaz aa számítógépek alacsony szintű feltörését célzó feladatok során egy hátsó kapu nélküli, elméletben helyesen működő rendszerben kellett hibát találni és tipikusan távolról, fizikai hozzáférés nélkül, feltörni egy szervert. A feladatok tipikusan olyan, mindennapi szoftvereinkben használt hibákat mintáztak, amelyek segítségével mobiltelefonokat, böngészőket, operációs rendszereket törnek fel a jó- és rosszindulatú hackerek.