A verseny úgynevezett CTF, azaz Capture the Flag (Ragadd el a zászlót) viadal volt. Minden csapat kap egy rendszert, amelynek a hibáit fel kell ismernie és ki kell javítania, miközben meg kell védenie mások támadásaitól. Közben meg kell találniuk a lyukakat az ellenfelek rendszerén és azon keresztül támadni őket. Mindezekért pontok járnak, ami alapján eldől, ki nyert. Itt kell megjegyezni: nem minden hacker „gonosz”. A kifejezés azokra is vonatkozik, akik képesek megvédeni a számítógépes rendszereket, felismerni a támadásokat és elhárítani azokat. Mivel napjainkban gyakorlatilag mindent számítógépek vezérelnek, ez különösen értékes tudás.
A CTF-versenyek feladatai pedig nagyon hasonlóak azokhoz a kihívásokhoz, amelyekkel egy rendszerbiztonsági szakember a mindennapokban találkozik. Ezért is szerveznek, finanszíroznak ilyen sok versenyt a magán- és állami szektorban is. – Ez egy iskola, és a kormányzatoknak és a cégeknek is tömegével van szükségük az új rendszerbiztonsági szakemberekre – magyarázza Bencsáth Boldizsár, a CrySyS kutatója.
Hobbiból a profik ellen
A csapattagok maximalisták, nehezen tudnak szabadulni a gondolattól, hogy jobb eredményt is elérhettek volna. – Végül is nem napozni mentünk ki! – mondja Komáromy Dániel, hackernevén „kutyacica”, aki még 2008-ban végzett a BME-n, ám évek múltán visszatért egyeteméhez, és most a !SpamAndHex tagja. Ezzel párhuzamosan saját vállalkozását építi. Komáromy úgy látja, hogy több munkával akár az első ötbe is be tudnának kerülni, de kérdés, megéri-e. Ehhez ugyanis jobban kellene koncentrálniuk a játékra és a stratégiára. Akkor pedig háttérbe szorulna a kutatás és a szakmai eredmények összegzése, vagyis a hackerversenyek épp a CrySyS legfontosabb küldetésétől vennék el az erőforrást.
– Látni kell, mennyire mások az anyagi lehetőségeink és a ráfordítható idő, mint a nagy múltú csapatoknál, amelyek mögött óriási egyetemek rendszerbiztonsági tanszékei állnak – teszi hozzá Pék Gábor, annak a diákkörnek az alapítója és vezetője, amelyből a hackercsapat „kinőtt”. – Nagyon sok támogatást kapunk, de ez akkor is egy hobbicsapat. Senkinek sem ez a főfoglalkozása. Aki diák, az még kreditet sem kap érte – teszi hozzá Miru György, alias „gym”, aki ebben a félévben végez mesterszakon. Hozzáteszi: van olyan csapat, amelyben főállású fejlesztők dolgoznak. Akad játékos, akinek ez a kutatási területe. Nyílt titok, hogy a lengyel csapatban többen is vannak, akik a Google rendszerbiztonságán dolgoznak.
Akiket a Google keres
A hackerversenyekbe fektetett energia azonban megtérül. Nemzetközi ismeretségeket szereznek, barátságokat kötnek. Ezen keresztül külföldi gyakornoki állásokat is tudnak találni a diákoknak, és újabb versenyekre hívják meg őket.
A labor sikerének alapja a nyugati típusú működés, a nyitottság és a külföldi kapcsolatok megléte. – A CrySyS a nyugati erőtérben működik, nem a magyar vákuumban – magyarázza Komáromy Dániel. Amikor csak lehet, a működési nyelv az angol. Buttyán Levente biztatja és segíti tanítványait, hogy menjenek külföldre tanulni és dolgozni. A nyugati tapasztalatokat nem agyelszívásnak, hanem lehetőségnek tekintik. A lényeg, hogy a külföldi kalandok után mindenki visszajöjjön és hazahozza a kint tapasztaltakat. Az egyik CrySyS-diák most épp a Google központjában dolgozik Amerikában, de már eleve azzal a tervvel utazott ki, hogy csak két évig marad. – Az informatika Magyarországon is jól megy, itthon is lehet nemzetközi fizetésért dolgozni, esetleg külföldi cégnek dolgozni távmunkában – magyarázza Miru György, miért nem foglalkoztatja őket jobban az „itthon vagy külföldön” kérdése.
– Budapestről is lehet informatikát csinálni, csak meg kell nézni a Tresorit, a LogMeIn vagy a Prezi sikerét – teszi hozzá Komáromy.
Diákkörből barátok csapata
A CrySyS 2011 óta szervez házi hackerversenyeket és vesz részt ilyen megméretéseken, ám jelentős lökést adott a csapatnak, amikor 2013 áprilisában két hallgató azzal kereste meg az akkor még doktorandusz Pék Gábort, hogy tartson nekik külön előadásokat. Hogy többen is profitálhassanak ebből, szétküldött egy e-mailt a lehetséges érdeklődőknek, és hamarosan elindult a CrySyS Student Core nevű diákkör, amely azóta a labor tehetséggondozójává vált. – Álmomban sem gondoltam volna abban a pillanatban, amikor elküldtem az e-maileket, hogy 2015 tavaszán már a DefCon döntőjében játszunk – mondja Pék Gábor.
Először még helyük sem volt, így a folyosón ültek össze, és ott vetítettek a falra. – Hamar megváltozott a dinamika, a nyolcadik héten már nem én tartottam az előadást, hanem ők egymásnak – mondja. A csapat ma már minden csütörtökön összeül, még a nyári szünetben is, hiszen rájöttek, milyen sokat tanulhatnak egymástól. Ráadásul baráti társasággá is alakultak, egy elejtett félmondatból kiderül: a „hivatalos” program után lazább körülmények között folytatódik az eszmecsere.
A diákkör tagjai közé kerülni megtiszteltetés, és meghívás szükséges hozzá. Ezt a CrySyS hackerversenyén lehet kiérdemelni, vagy kiemelkedő szakmai munkával. A csütörtöki eszmecseréken nem csak a hackerversenyhez szükséges ismeretekről esik szó, ám úgy esett: a diákkör tagsága szinte megegyezik a !SpamAndHex tagságával.
A csapat népszerűségének és szakmai sikerének titkát Buttyán Levente abban látja, hogy nagyon más, mint a megszokott oktatási formák. Gyakorlati ismereteket ad át, ráadásul a diákokat partnernek tekintik. Nem érdekel senkit, hogy ki az elsős és ki a doktorandusz, csak az, mit tud. – Az egyikük a webes biztonsághoz ért jobban, a másik az operációs rendszerekhez, és egymástól tanulnak – mondta. A hackerversenyeken elért sikerek másik titkának pedig azt tartja, hogy mindenki szívvel-lélekkel csinálja.
A csapat abban nem lát semmi különöset, hogy kevesebb mint három év alatt ilyen jelentős eredményeket értek el. – Rövidnek tűnik az idő, de mindenki rengeteg energiát tett bele – mondja Ács-Kurucz Gábor, alias akg, aki a következő félévben végez mesterszakon.
Majdnem két órán át beszélgetünk, eközben Buttyán Levente kevésszer szól közbe. Oldalt ül, mosolyogva és büszkén nézi tanítványait. – A legnagyobb probléma az, hogy hogyan tartsuk fenn mindezt hosszú távon. Hol lesztek ti két év múlva? – kérdezi a csapattól, amikor végre bekapcsolódik, majd szeme a terem másik végében ülő kollégáját, Bencsáth Boldizsárt keresi. – De ez már legyen a mi gondunk!
A magyar csapat legyőzte a szuperszámítógépet
Hét számítógép áll a színpadon, és tömegek nézik őket – ez volt az idei DefCon talán legbizarrabb látványa. A gépek nem mozdultak, mégis egymással versenyeztek: az volt a kérdés, melyik képes jobban elvégezni egy rendszerbiztonsági szakember munkáját. A DARPA, az amerikai védelmi minisztérium kutatóközpontja ugyanis néhány éve feltette a kérdést, ami ma a hackervilág egyik legforróbb témája: lehet-e automatizálni a hackelés egyes folyamatait?
Ennek érdekében a DARPA óriási pénzjutalmakat ígérve versenyt hirdetett. Olyan szuperszámítógépeket kellett építeni, amelyek képesek egy rendszerben megtalálni a hibákat és kijavítani azokat emberi beavatkozás nélkül. A hét „döntős” a DefConon csapott össze egymással, a győztes pedig később megmérkőzött a hús-vér hackerekkel. Végeredmény még nem született, de az előzetes eredmények alapján úgy tűnik, hogy a 13. helyen végzett magyar csapat jobb helyen zárt, mint a Mayhem nevű szuperszámítógép. Utóbbit egyébként egy pennsylvaniai cég építette: ők kétmillió dollárral lettek gazdagabbak a győzelem után.
