Tech

Második helyen végeztek a magyar hackerek a Google világversenyén

A magyar hackerekből álló !SpamAndHex több mint kétezer csapat közül nyerte el a második helyet a Google CTF idei versenyén, ahol a biztonsági szakma krémjéből kikerült szakemberekkel mérték össze tudásukat.

A Google CTF 2017 hackerversenyre összesen kétezer csapat nevezett, a Zürichben megrendezett döntőre 10 csapat jutott be. A döntőn a magyar hackereken kívül két izraeli, két orosz, két tajvani, két japán és egy kínai csapat vett részt.

A !SpamAndHex négytagú csapata által elnyert második helyezés 7331 dollár (közel kétmillió forint) pénznyereménnyel jár. A nem éppen kerek összeg magyarázata, hogy az visszafelé olvasva az “1337” számot adja ki, ami a hacker szlengben az angol “leet” kifejezésnek felel meg és a technikai teljesítmény elismerésére használják.

A GYŐZTES CSAPAT. Forrás: Google

„Számunkra ez a második hely a Las Vegas-i DEFCON CTF-en való szereplések mellett az egyik legjobb eredményünk. A Google CTF-hez hasonló hackerversenyek rangja rengeteget nőtt az elmúlt években, a versenyzők a biztonsági szakma krémjéből kerülnek ki. Azokkal a biztonsági szakértőkkel versenyzünk, akik óriáscégek alkalmazásában profi szinten űzik a hackelést és vezetik a Google, a Microsoft vagy az Apple programjaiban sérülékenységeket találó hackerek listáit” – mondta Komáromy Dániel, a !SpamAndHex tagja.

SZEREZD MEG A ZÁSZLÓT!

A zürichi verseny egy úgynevezett CTF jellegű verseny, amelynek során a szervezők által készített biztonsági feladványokat kell megoldani. A cél minden esetben, hogy a csapatok hozzáférjenek egy bizonyos titokhoz, ezt nevezik “flagnek”, zászlónak. Innen a név is: a CTF a „Capture the Flag” rövidítése, ami magyarul annyit jelent, „szerezd meg a zászlót”.

Minden feladat más és más, közös bennük viszont, hogy az adott titok minden esetben úgy szerezhető meg, hogy a hackerek felfedezik és kihasználják azokat a biztonsági réseket, amiket az adott feladvány rejt. A feladatok kategóriákba vannak sorolva és a cél minél több feladat minél gyorsabb megoldása, tehát az is számít, melyik csapat van kész hamarabb.

A négy magyar hackernek összesen 36 órája volt megoldani 19 feladványt, amelyeket öt különféle kategóriához kapcsolódtak.

A MŰSZAKI EGYETEMRŐL INDULTAK

A !SpamAndHex a Budapesti Műszaki és Gazdaságtudományi Egyetem CrySyS Lab kutatóműhelyéből indult, 2013 óta rendszeresen vesznek részt hacker versenyeken. Egymás után háromszor is kijutottak a legrangosabb, Las Vegas-i versenyre, a DEFCON CTF-re. Jelenleg körülbelül 15 aktív tagjuk van, többségük a BME volt vagy jelenlegi diákja. A már végzett csapattagok nagyrészt IT biztonsággal foglalkozó cégeknél, például a Balabitnél és a Tresoritnál kamatoztatják szaktudásukat, illetve nagyobb cégek, mint például a Google biztonságért felelős csapataiban dolgoznak.

MINT A BKK HACK, CSAK BONYOLULTABB

A feladatok többek között kriptográfiai, webes, reverse engineering és pwning témákból kerültek ki. Bár ezek a kategóriák első hallásra ismeretlennek tűnnek, nagyrészt olyan valós területeket modelleznek, amelyekkel egy átlag internetfelhasználó nap mint nap találkozik.

  • Kriptográfia: Különböző adattitkosítási és védelmi mechanizmusokat kellett megtörni, kijátszani. Esetenként a feladatok már ismert és megbukott kriptográfiai megoldásokat mintáznak. Ilyen volt például az a hiba, ami a PlayStation 3 mester kulcsának feltörésében is szerepet játszott.
  • Web: Tipikusan a web mindennapi sérülékenységeinek trükkösen kihasználható, így megfelelő kihívást nyújtó változatai. Ezek hasonló jellegű sérülékenységek, mint a BKK nemrég felfedezett esete, csak persze jóval bonyolultabbak Hegedűs Tamás, a csapat hackere szerint.
  • Reverse engineering: Programok visszafejtése. A programok visszafejtése során a szakértők egyrészt meg akarják érteni egy program belső működését, másrészt megpróbálnak új vagy rejtett funkciókat találni.  A Google versenyén többek között egy valódi nyerőgép működésének a megértése volt a feladat, rá kellett jönni, hogyan lehet megnyerni a jackpotot. Ehhez szét kellett csavarozni a gépet, le kellett tölteni a rajta szereplő programot, majd rájönni, hogy hogyan lehet feltörni azt és így rávenni a nyerésre.
  • Pwning: A számítógépek alacsony szintű feltörésének művészete. Ilyenkor egy hátsó kapu nélküli, elméletben helyesen működő rendszerben kell hibát találni és tipikusan távolról, fizikai hozzáférés nélkül, feltörni egy szerver típusú rendszert. Ezek a feladatok tipikusan olyan, mindennapi szoftvereinkben használt hibákat mintáznak, amelyek segítségével mobiltelefonokat, böngészőket, operációs rendszereket törnek fel a jó- és rosszindulatú hackerek.

Ajánlott videó

Olvasói sztorik