DefCon je največja hekerska konferenca, ki je ravnokar proslavila dvajsetletnico svojega obstoja. Prve konference so imele nekaj sto udeležencev, med katere so se skušali infiltrirati tudi ameriški zvezni agenti. Hekerji so to hitro ugotovili in zato kar uvedli javno tekmovanje “Spot the Fed”. Dvajset let kasneje je DefCon brez dvoma najbolj množična konferenca za omrežno varnost, ki ima še vedno zelo jasno hekersko identiteto. Le da so sedaj zvezni agenti tudi čisto uradni gosti (“Spot the Fed” še vedno traja, dodana pa je prijazna “Meet the Fed” okrogla miza). Predprijava na konferenco ne obstaja, plačilo kotizacije ($200) pa je možno le v gotovini na licu mesta. No questions asked. DefCon je vedno v Las Vegasu, par dni prej pa lahko obiščete tudi Black Hat, ki je DefConov alter ego, namenjen bolj uradni publiki (temu primerna je tudi cena).

Na DefConu boste takoj opazili nenavadno veliko ljudi, ki si na predavanjih zapiske delajo v blokce s kuliji. Saj: če kje, potem bodo luknjo v vašem laptopu našli tu. Seznam prestreženih gesel nepazljivih udeležencev na konferenčnem Wi-Fi omrežju redno osvežujejo na Wall of Sheep projekciji. Poleg predavanj se lahko udeležite različnih tekmovanj (v hekanju, razbijanju šifrirnih kod ali računalniških igrah), skupine pa se pomerijo v Capture the Flag tekmovanju.

Po toliko letih ima konferenca že svoje slavne osebnosti. Prvi je sigurno Jeff Moss alias Dark Tangent, kreator in organizator DefCona. Letos je govoril tudi Bruce Schneier, sigurno največju “guru” infoseca (nekateri mu pravijo tudi rock zvednik informacijske varnosti), na podpisovanje svojih knjig pa je prišel najbolj slavni heker do sedaj, Kevin Mitnick (preberite njegovo knjigo Ghost in the Wires).

Vse pa je močno zasenčil letošnji uvodni govorec, direktor NSA (National Security Agency), general Keith B. Alexander. Izkušen govorec, ki ni skoparil s komplimenti hekerski skupnosti. Na oder je povabil mlado CyFi, ki je zmagala na tekmovanju DefCon Kids in jo predstavil kot pozitiven zgled in up države v boju proti sovražnikom. Neposredno je izjavil, da je preiskovanje ranljivosti, ki ga opravlja hekerska skupnost, pomemben prispevek k izboljšanju varnosti in dodal: “We need you!” NSA je imela celo svojo stojnico na konferenci (in objavila možnosti zaposlitve), malo ironično zraven EFF (Electronic Frontier Foundation), ki je takoj po konferenci objavila prispevek o tem, zakaj NSA ne sme biti zadolžena za kibervarnost.

Bruce Schneier je naslednji dan na vprašanje o predavanju direktorja NSA dejal: “Pa ja niste nasedli?”

Predavanje raziskovalcv iz Penn State University o ranljivostih P25 radijskih naprav, ki jih uporablja ameriška vojska, policija, reševalci in gasilci (ter skoraj vse druge službe na terenu) me je spomnila na nedavno objavo GSM ranljivosti na Slo-techu pred nekaj tedni, sploh ko smo pri nas doma slišali tudi mnenja, da je vsako tako preiskovanje ranljivosti avtomatično tudi kaznivo. V ZDA so nemalokrat takšne raziskave državno financirane (v konkretnem primeru preko NSF, National Science Foundation). Posnetkov iz DefCona še ni, ogledate pa si lahko bolj ali manj isto predavanje iz USENIX konference.

Razbijanje gesel je zrela panoga, ki se je skladno s trendi premaknila v oblak (kot vse drugo). Pedavanje Cryptohaze Cloud Cracking je še enkrat zelo jasno izpostavilo, da so “nesoljena” gesla lahka tarča in da je potrebno pazljivo izbrati tudi samo sol. Časi, ko si je lahko “zaščito” izmislil poljubni programer spletne aplikacije, so brez kančka dvoma mimo! Programerji: uporabite bcrypt, če se le da, sicer pa sha-512 ali sha-256. Sol naj bo čimbolj naključna, nevezana na uporabnikov račun ali kakšno drugo njegovo lastnost. Moja priljubljena mantra letošnjega leta pa je: razvoju aplikacij naj sledi neodvisni varnostni pregled in testiranje.

Vseeno se je večina programske opreme z varnostnega stališča vendarle izboljšala v zadnjih desetih letih. Microsoft je bil takrat konstantno na sramotilnem stebru, danes nič več. Obrat je prišel pri njih s tem, ko je vodstvo ugotovilo, da je varnost operacijskega sistema pomemben del produkta in ustanovilo ekipe, ki so se zaščite lotile sistematično in jo vpele v procese razvoja. Takrat je Microsoft prvič tudi stopil v kontakt s CERT centri po svetu in neodvisnimi raziskovalci, ki so odkrivali napake. Obstajajo pa zatohli žepi na področju razvoja programske opreme, ki so ostali kar nekje v prejšnjem stoletju, med njimi je SCADA oprema.

SCADA (Supervisory Control And Data Acquisition) je oznaka za sisteme, s katerimi krmilimo industrijske procese. Lahko gre za krmiljenje tekočih trakov v proizvodnji, ali pa nadzorne sisteme za elektrarne, plinarne in raznovrstno drugo zanimivo infrastrukturo. Ker se je vsa zaščita tam prevedla na predpostavko, da ti nadzorni sistemi niso priključeni na internet, se zdi, kot da so razvijalci ostali na nivoju študenta, ki naredi svojo prvo resno aplikacijo. Prikazani so bili primeri hrambe gesel v čisti obliki, neumno zasnovanih obvodov okoli gesel in podobno. Ti sistemi bi morali biti deležni največje pozornosti, saj preko njih lahko manipuliramo s kritično infrastrukturo. Od te pa je odvisna kvaliteta, včasih pa tudi življenje samo. (Doma smo že obravnavali nekaj takih primerov, sigurno nas čaka še več. V romanu pa je tema obdelana v Russinovichevem Zero Day.)

Ogled predavanj, ko bodo na voljo na Youtubu, bi moral biti obvezen za vse, ki v državi sodelujejo pri vpeljavi (recimo) pametnih števcev in druge avtomatizacije naše infrastrukture. Da moramo zdaj poskrbeti za zdravo zasnovo in vse rešitve temeljito preveriti, je jasno prikazano na DefConu in vseh drugih konferencah informacijske varnosti. V stroki dileme o tem sploh ni. Kako to sporočilo spraviti do odločevalcev, je pa drugo vprašanje.

Čeprav konferenca še vedno nosi feeling hekerske subkulture iz 90. let prejšnjega stoletja, je jasno, da odrašča skupaj z ljudmi, ki so jo ustvarili. O tem priča sama popularnost konference in raznovrstna publika, hekerska tekmovanja za otroke (DefCon Kids) in nagovor direktorja NSA (tega noben jasnovidec ne bi mogel napovedati pred leti).