Življenje po Snowdenu

Široko prisluškovanje ameriške NSA že mesec dni vzdržuje zanimanje javnosti. Sedaj je recimo jasno tudi to, da NSA letno nameni kar 250 milijonov dolarjev za slabljenje šifrirnih postopkov. Denar je namenjen vstavljanju ranljivosti v komercialne šifrirne sisteme, ter vplivanju na specifikacije in standarde tehnologij za šifriranje na osnovi javnih ključev. V sodelovanju s proizvajalci strojne in programske opreme NSA in britanska GCHQ poskrbijo, da imajo odprta stranska vrata v razširjene protokole za šifrirano izmenjavo podatkov. Tiste, ki jih vsak dan uporabljamo tudi za nakupovanje po spletu in e-bančništvo. V dokumentih je navedeno, da gre za TLS/SSL, SSH, IPSec in različne VPN rešitve, internet telefonijo, “in še več.” Kako je to mogoče?

Najprej lahko izdelate šibke šifrirne postopke, ki jih znate že vnaprej razbiti ali zaobiti. To je težko, saj so ti algoritmi ponavadi javno znani in izpostavljeni presoji matematikov po vsem svetu, zato vas lahko razkrinkajo. Po drugi strani je res, da je NSA dolga leta veljala za močno avtoriteto na področju kriptografije in je tudi sama predlagala številne standarde, ki jih je sprejel ameriški inštitut NIST in se danes tudi uporabljajo. Vsi algoritmi na koncu živijo v kakšnem čipu, bolj pogosto pa so implementirani v programski opremi. Tu je druga točka napada. Prispevate lahko svoj del kode, ki je ravno prav pokvarjen. Toliko, da vam bistveno skrajša čas, potreben za dešifriranje sporočila (če ste NSA, imate doma namreč ogromen superračunalniški center). Ali pa kar neposredno stopite do proizvajalca in ga s svojo avtoriteto prepričate, da vstavi stranska vrata za lov teroristov v svoje produkte.

Že slišim zmagoslavne krike zagovornikov odprte kode, češ da je rešitev prav pri njih! Tam je izvorna koda na voljo za pregled prav vsem in programerska skupnost bo zato v njej hitro odkrila napake in podtaknjene pomanjkljivosti. Po tej logiji odprtokodni programski paketi skoraj ne bi imeli več varnostnih lukenj, vendar to še zdaleč ni res. Kdo pravi, da so vsi programerji na odprtokodnih projektih vrhunski? Poglejte samo zgodovino lukenj v PHP ali Joomli! Odprtokodni projekt je recimo tudi selinux, modul varnostnih izboljšav za jedro linuxa, kjer je glavni razvijalec prav NSA. Se boste zakopali v izvorno kodo, ali pa boste v luči vseh člankov o NSA sedaj imeli pomisleke pri njegovi namestitvi? Dobro – vzemimo za primer raje openssl, ki verjetno poganja večino šifriranja na spletu. C-jevske kode je okoli 350.000 vrstic. Med njimi so velike, skrbno sestavljene številčne tabele, ki so nujna sestavina uporabljenega šifrirnega algoritma. Pa sedaj najdite podtaknjeno spremembo entropije v njih, če znate.

openssl-1.0.1e/crypto/seed/seed.c

openssl-1.0.1e/crypto/seed/seed.c

Vsej šifrirni kolobociji se izognete, če znate priti do vira komunikacije, se naseliti v sam računalnik in tam prestrežete ključe. To boste naredili s posebno zlonamerno kodo, virusom, ki bo tarčo okužil. Če ga prej podpišete z ukradenim razvijalskim certifikatom, je vaš dostop do tarče še lažji, saj se bo virus recimo predstavil kot nadgradnja gonilnika.

Kaže, da so v omenjenih tajnih službah počeli prav vse od naštetega. To zadnje smo recimo videli pri Stuxnet programu, ki je z okužbo Windows nadzornih postaj za leta 2010 uspešno izvedel fizične sabotaže Siemensovih centrifug za bogatenje urana v iranskem jedrskem programu. Virus je bil podpisan z veljavnima digitalnima certifikatoma podjetij Realtek in JMicron.

Eni bodo seveda rekli, da so to vseskozi vedeli in da je vse to itak normalno delo tajnih služb. Tem ljudem ne verjamem prav zares. Ja, vsi smo leta govorili o Echelon programu prisluškovanja in ugibali, kaj od šifriranja lahko NSA razbije in česa ne. Vendar pa vse do Snowdena nihče ni prišel na plan z jasnimi dokazi, da je kaj takšnega mogoče. Njegova razkritja nam menjajo perspektivo pogleda na omrežje in naše komunikacije v njem. Če se je najprej začelo majati zaupanje v dobroto internet velikanov, ki nam takorekoč zastonj ponujajo vse te lepe oblačne storitve, se sedaj maje naše zaupanje v same tehnološke osnove komunikacijskih protokolov, ki so ustvarjeni ravno za to, da skrijemo podatke pred neželenim prisluškovanjem. Vedno bolj je razločen občutek, da je za boj proti terorizmu sprejemljiva cena zloraba vseh nas. Sam pa sem se to poletje spominjal odgovora kriptografa in guruja informacijske varnosti Bruca Schneierja, lansko leto na konferenci Def Con 20. Na okrogli mizi je dobil vprašanje, kaj si misli o do hekerjev nadvse prijaznem in všečnem vabljenem predavanju direktorja NSA Keitha B. Alexandra dan prej. Odgovor je bil zelo kratek: “Pa mu ja niste nasedli?!”

Kolumna je bila objavljena v oktobrski številki revije Monitor.

Advertisements

DEF CON 21

Pred enaindvajsetimi leti je Jeff Moss alias Dark Tangent v Las Vegasu naredil poslovilno zabavo za kanadskega prijatelja, ki je zaradi odhoda družine v tujino zapiral svoje BBS vozlišče. Prijatelj je žal moral na pot še preden se je začelo, a zabava za okoli 100 hekerjev je vseeeno stekla. Čeprav je bila mišljena kot enkratni dogodek, je eden od udeležencev Mossu po zaključku pisal in ga vprašal, kdaj bo naslednji DEF CON. Ostalo je zgodovina.

DEF CON 20 closing

DEF CON nikakor ni običajna konferenca. Drugačna je že registracija nanjo, ki je možna samo na licu mesta in ob plačilu dvesto dolarjev v gotovini (letos 180). Nič vnaprej, nič kreditnih kartic ali Paypala. Prijava je anonimna in na značkah ni imen – vsak se lahko predstavlja kot želi in tako zlahka ohranja svoj omrežni jaz. Od sto hekerjev je udeležba zrasla na osem do deset tisoč ljudi. Tako se namreč reče navadnim udeležencem (human), za red in gladek potek pa skrbijo goons1, ki to veliko množico ljudi usmerjajo in skrbijo za varnost. To pa ob številu udeležencev ni majhna naloga.

Za registracijo se je pametno postaviti v vrsto pred pol osmo uro zjutraj prvi dan in tako le kakšno uro in pol čakati na registracijo. Če pa mislite preskočiti uvodna predavanja, je manjša vrsta popoldne. Ne mislite pa, da se boste brez značke izmuznili goonom in registrirali kasneje! Če imate nekaj smisla za uganke in šifriranje, si lahko brezplačno udeležbo priigrate z zmago v izzivu, ki je objavljen kakšen mesec prej na spletni strani.

DEF CON pravilo 3-2-1Vsaj tri ure spanja na dan.

Vsaj dva obroka hrane na dan.

Vsaj eno tuširanje na dan.

Prvi dan je DEF CON 101 in je namenjen vsem, ki so na konferenco prišli prvič. Razložili vam bodo osnovna pravila, nekaj zgodovine konference in ves spremljevalni program. Sledi nekaj bolj osnovnih predavanji. Vseeno je dan zapolnjen, konča se s projekcijo kakšnega relevantnega dokumentarnega filma ali zabavo ob hotelskem bazenu. Sledijo trije polni dnevi s predavanji v kar petih stezah in ob bogatem spremljevalnem programu.

“Spremljevalni program” za opis različnega DEF CON dogajanja zveni popolnoma suhoparno in neustrezno. Na konferenco nekateri sploh ne pridejo poslušat predavanj, ampak zato, da se dokažejo s svojo ekipo v hekerskem Capture the Flag tekmovanju (zadnja leta se lahko preizkusite tudi v različici za socialni inženiring). V Lockpick Village se lahko naučite odklepanja klasičnih ključavnic, na BCCC tekmujete s svojo napravo v hlajenju piva, lahko pa prvi dan preživite na toksičnem žaru (Toxic BBQ), kamor prinesete svojo hrano in recepte. Zvečer lahko na hekerskih kareokah tudi zapojete. Vsega je ogromno, organizatorji pa svojo družbeno ozaveščenost nedvomno kažejo tudi z dogodki za otroke (prej DEF CON kidz, zdaj r00tz), srečanji istospolno usmerjenih udeležencev queercon in podporo za udeležence z okvarami sluha DEAF CON.

Sem in tja lahko skočite pogledat, ali se je zaradi trenutne nepazljivosti kakšno vaše geslo ujelo na Zidu za ovce (Wall of Sheep). Tam lovijo udeležence, ki so prišli na hekersko konferenco in so tako neuki, da iz svojih naprav po brezskrbno po odprtem brezžičnem omrežju pošiljajo gesla v čisti obliki. Večina ujetih gesel je poštnih, preko IMAP ali POP3 protokola. Organizatorji ponujajo tudi varnejše brezžično omrežje s samoregistracijo, zato se velja takoj registrirati nanj in pozabiti na odprto omrežje. Ker pa se “nikoli ne ve,” si pred odhodom uredite še kakšen lastni šifrirani VPN dostop, preko katerega boste usmerjali ves svoj promet.

Letošnja predavanja

Predavanj je res veliko. Potekajo na petih, včasih celo šestih stezah. Od tega, kaj boste izbrali od predavanj, bo odvisen tudi občutek o kvaliteti predstavljenega. To boste hitro ugotovili v pogovorih med odmori, ko boste primerjali slišano vsebino. Predavanja se običajno končajo petnajst minut pred naslednjim, kar pusti dovolj časa za masovne migracije ljudi po hodnikih od ene predavateljske dvorane do druge.

Tokrat smo lahko poslušali o posebnostih IPv6 hekanja, ter uporabi Microsoftove lupine Powershell za “penetracijske teste”. No, ali pa za hekanje v tuje računalnike, ne? Oblaki so bili na tapeti, ko je bil predstavljen način pridobivanja neomejenega prostora na Dropboxu: datoteko razdelite na majhne koščke, te pa shranite kot različne verzije iste datoteke in izkoristite neomejene možnosti sledenja različic. Potem naredite svoj vmesnik, ki upravlja s tako shranjenimi podatki. Seveda boste v težavah takoj, ko bo Dropbox uvedel omejitve in zaščito pri shranjevanju različic. Prepričan sem, da kmalu.

Kako ne biti pwnan

  1. možnost: papirnat blokec in kuli, ter star “neumen” telefon, ki ga boš zavrgel.
  2. možnost: svež, ponastavljen in zaščiten prenosnik brez dostopa do podatkov doma, ki ga po konferenci zradiraš.
  3. možnost: prenosnik ali tablica, ki lahko preko VPN dostopa pride le do manj občutljivih podatkov doma in določenih poštnih predalov, brez katerih ne moreš teh nekaj dni.
  4. možnost: si l33t hax0r in tebe že ne bodo pwnali, vzameš svoj prenosnik. Srečno.

Že prvi dan smo z odra lahko slišali nekoliko zlobno pripombo, da s seboj ne nosite androidnih naprav, ker boste pwnani!2 Tako enostavno verjetno le ni, smo pa lahko vseeno slišali kar nekaj predavanj o takšnem ali drugačnem hekanju androida in pomanjkljivosti Googlove zaščite pri podtikanju zlonamernega programja v njegovo Play trgovino. Prikazan je bil tudi način vdora v Google Apps storitev z ukradenim android telefonom. Googlovi inženirji so sigurno sedeli med publiko.

Pomanjkljiva zaščita na popularnih spletnih mestih za poslušanje glasbe je izpostavila tiste ranljive, kjer lahko MP3 datoteke z manipulacijo spletnih zahtev zastonj shranite na svoj računalnik. Predavanje o izgradnji lastnega javascript botneta, kamor porazdelite svoje šifrirane datoteke se je končalo z zanimivim pogovorom o zanesljivosti in odpornosti takšnega botneta na izpade posameznih vozlišč. Letos je kar nekaj predavateljev tudi govorilo o reverznem inženiringu avtomobilskih sistemov, ki komponente povezujejo s CAM vodilom. Vsak prikaz konkretne izrabe varnostne luknje je pospremljen z vljudnim aplavzom publike, bolj zanimivi heki pa tudi s kakšnim vzklikom.

Dobro obiskano je bilo predavanje o DoS napadih, ki izkoriščajo slabosti IPv6 implementacije na različnih operacijskih sistemih in strežnike “zamrznejo” tudi brez podatkovnih poplav velikih botnetov. V drugem delu pa smo za kontrast lahko slišali izkušnje ponudnika CloudFlare ob letošnjih napadih na njegovo stranko Spamhaus, ki so dosegli pasovno širino kar 300 Gb/s. Napad je bil izveden preko odprtih rekurzivnih DNS strežnikov in predavatelj je opisal zamisel, da bi lahko za obrambo “rekurzivce” prepričali, da se napadejo medsebojno in se zato ne bi imeli več časa ukvarjati z napadom na originalno tarčo! Njihov pravnik ob tem presenetljivo ni rekel odločnega: “Ne!” vendar nadaljnjih podrobnosti v predstavitvi nismo slišali.

Predavanje o “mrcvarjenju podatkov” je pokazalo na nepredvidljive posledice kombiniranja javno dostopnih podatkov in je podalo protiutež “open data” inciativam, ki se verjetno ne zavedajo posledic na posameznikovo zasebnost.

Nekoliko napeto vzdušje pa je spremljalo ambasadorja ZDA, nekdanjega člana skupine za pogajanja o nuklearnem programu Severne Koreje. Potegnil je nekakšno paralelo med atomskim in kibernetskim orožjem, češ, zakaj tudi računalniški virusi ne bi bili predmet kakšne omejevalne mednarodne konvencije. Ni bilo sprejeto z navdušenjem, res pa so vprašanja iz publike kmalu začela vleči v smer NSA prisluškovanja.

Na DEF CON lahko obiščete tudi (recimo temu) podporna predavanja. “Kako razkriti ali prodati izrabo ranljivosti (exploit) in pri tem ne zaiti v težave” je opisovalo uzance ameriškega pravnega sistema, predvsem zakona CFAA (Computer Fraud and Abuse Act), drugje ste slišali o etičnih vprašanjih hekanja, lahko pa ste šli na delavnico o preprečevanju samomorilnosti, ki naj bi bila v delu hekerske skupnosti še kar prisotna. Med bolj bizarnimi pa bi omenil predavanje o zgodovini ukrepov vlade ZDA ob pojavu NLP (neznanih letečih predmetov) po drugi svetovni vojni. Misli te hitro odnesejo v Area 51 tam v bližini.

Streznitev

Enaindvajset je tista zaresna polnoletnost v ZDA, ko lahko alkoholno pijačo. DEF CON je lani z dvajsetlo obletnico obrnil nov list, ko je med glavnimi predavatelji daleč najbolj izstopal direktor NSA, general Keith B. Alexander. Takrat ni skoparil s komplimenti hekerski skupnosti in v majici EFF (Electronic Frontier Foundation) na oder povabil mlado CyFi, zmagovalko na DEF CON kidz tekmovanju, ter jo predstavil kot svetlo prihodnost ZDA. Čez kakšen dan je prvi guru informacijske varnosti Bruce Schneier pred publiko dejal: “Pa mu ja niste nasedli?!”

Vseeno je lani kazalo na pričetek sožitja s “feds”, zveznimi agenti, ki že od nekdaj v civilu hodijo na DEF CON. Letos je bilo v zraku jasno čutiti težo streznitve, ki jo je prineslo Snowdenovo razkritje programa PRISM. Pred konferenco je Jeff Moss objavil javni poziv vladnim uslužbencem, da naj se vzdržijo obiska. “Potrebujemo nekaj časa narazen,” je dejal. Tako je umanjkala tudi zabavna “Spot the Fed” aktivnost prepoznavanja agentov v civilu.

DEF CON je en in edini. Kako se bo razvijal v zrela leta, bomo videli, velik del njegove privlačnosti pa je njegov širši kontekst in številni dogodki v njem. Predavanja pa so ena boljših in so v celoti posneta, zato jih kar poiščite na Youtube.

Članek je bil objavljen v septemberski številki revije Monitor.

There can be more than one

STA je objavila vest o nameri Vlade RS, da do konca leta 2013 izdela strategijo kibernetske varnosti in vzpostavi ustrezni nacionalni organ. Hkrati se omenja ustanovitev dodatnega, vladnega GOV-CERT. Na tviterju je težko razpredati na temo odzivanja na omrežne incidente, tu je nekaj misli na to temo.

Preventiva ni vse

Pristop k zaščiti e-bančništva ob njegovi vpeljavi konec 90. let prejšnjega stoletja je bil enostaven: vrzimo v lonec primerno dozo šifriranja in poskrbimo za digitalno avtentikacijo uporabnika “in je”. No, ni. Podobno je z drugimi omrežnimi napadi. Ni dovolj le skrb za zaščito, požarne pregrade in protivirusne programe. Vseh požarov nikoli ne boste odpravili s preventivo in dobrimi praksami. Na koncu potrebujete tudi gasilce.

Gasilci na internetu smo certovci (CERT = Computer Emergency Response Team). Smo tisti, ki se prvi odzovemo na problem, pomagamo pri odpravljanju posledic incidenta, svetujemo pri zaščiti in s povezovanjem različnih dogodkov sestavimo “the big picture”, ki nam omogoča primerne ukrepe.

Vaja dela mojstra

Če sistemski skrbnik razmišlja večinoma o postavitvi in optimizaciji strežnikov, programer o primernem ogrodju za razvoj nove spletne aplikacije, ne eden ne drugi običajno ne bosta vedela, kaj storiti v primeru vdora v računalniški sistem ali kakšne druge zlorabe. Odzivanje na incidente je obrt, ki jo izboljšamo z izkušnjami (seveda je potrebna ustrezna strokovna podlaga). Zato je primerno, da v večjih podjetjih nekaj IT kadra izobrazijo tudi za te primere, v največjih pa je prav, da imajo prav ekipo, ki skrbi za zaščito in odzivanje. Tudi internet ponudniki, seveda. Primeri: KPN-CERT, Siemens CERT, SKY-CERT.

Velik sistem je tudi omrežje državnih ustanov HKOM, ki ima svoje posebnosti. Je bolj zaprto in nadzorovano, kot splošni internet, pravila za izmenjavo in varovanje podatkov morajo biti stroga. Pomislite na različne registre, ki morajo biti dostopni zaradi e-storitev in se skladiščijo tam. Zato je smiselno, da tudi upravljalec omrežja HKOM (Direktorat za informatiko in e-upravo, Ministrstvo za notranje zadeve) ima na voljo ustrezno ekipo za odzivanje.

Koliko certov?

V manjših podjetjih in drugih ustanovah je seveda nemogoče pričakovati, da bodo pri le nekaj zaposlenih sposobna imeti lasten usposobljen kader za informacijsko varnost, zato morajo storitve iskati drugje. Na trgu lahko najdejo ponudnike varnostnih rešitev in zavarovanja v primeru škode. Za podporo pri odzivanju na varnostne incidente pa ponavadi poskrbi država (v IT svetu in sicer), ker praksa kaže, da se komercialni model za prvo odzivanje (first responders) ne obnese. Te naloge opravljajo nacionalni odzivni centri CERT, ki so tudi enotna kontaktna točka za prijavo incidentov. CERT centre vzpostavljajo tudi vojske, ker so omrežni napadi že nekaj let podporni del vojaškega delovanja, to pa ima svoje posebnosti (odzivni center je tudi NATO zahteva).

Ali imeti en sam državni in nacionalni center, ali vloge ločiti, je vprašanje, ki pa nima samo enega odgovora. Odgovor na to je odvisen od trenutne situacije, zgodovine, razdelitev pristojnosti, itn. Švica, Avstrija, Danska in Hrvaška uporabljajo spodnji model.

Predlog

Nacionalni odzivni center SI-CERT:

  • področje delovanja: širša javnost,
  • vmeščenost v nacionalne storitve (register slovenskih domen, vrhnja DNS infrastruktura, stičišča za izmenjavo internet prometa SIX),
  • sodelovanje z internet ponudniki in gostitelji (običajno večje akcije z masovnimi okužbami, tudi zaščita osnovne internet infrastrukture) in naloge v sklopu sodelovanja z Agencijo za pošto in elektronske komunikacije, kot določa ZEKom-1,
  • nacionalni program izobraževanja in ozaveščanja.

Vladni odzivni center GOV-CERT:

  • področje delovanja: sistemi javne uprave,
  • zaščita virov in sistemov na državnem nivoju (registri, sistemi e-uprave),
  • skrb za informacijske komponente kritične infrastrukture v državi.

Operativa vs. strategija

Sam sem že kdaj cinično omenil, da se bomo v naši državi utopili v strategijah, medtem ko nam operativno stvari ne delujejo. Vendar pa imamo problem tudi s tem, da operativno že nekako gasimo požare, a odkritih problemov ne rešujemo vedno dovolj učinkovito, ker informacija z operativnega nivoja le malokrat pride do odločevalcev v državi. Visoko umeščen nacionalni organ za kibernetsko varnost bi morda to popravil. Ampak vsekakor je to stvar “medresorskega usklajevanja”.

Spamaj namesto mene, pa ti mogoče dam nekaj denarja!

Petrol ima nagradno igro, v kateri sodeluješ tako, da pošlješ reklamo za nagradno igro naprej vsaj petim svojim prijateljem ali znancem.

Nagradna igra Petrola

Gre za enostaven viralni marketing, kjer se organizator izogne zakonskim prepovedim o neželenih sporočilih tako, da z obljubo povečanja možnosti zadetka v nagradni igri prepriča sodelujoče, da pošljejo njegovo sporočilo naprej. V njem sicer navedejo, da ti v bistvu nekdo drug pošilja vabilo za sodelovanje v nagradni igri, a naslov pošiljatelja elektronske pošte je vseeno petrolklub@petrol.si, zaglavje sporočila pa pokaže, da je bil poslan iz strežnika http://www.petrol.si. Kdo je torej zares pošiljatelj, Petrol, ali oseba, ki so jo na svoji spletni strani prepričali, da je kliknila na gumb?

Mogoče je že res, da se Petrol na tak način med vejico in presledkom izmuzne črki zakona, vsaj meni pa se zdi, da zakonska določila urejajo neželeno pošto zato, ker je moteča in vsiljiva, pa naj ti jo pošiljajo znanci, ali pa podjetje samo. Duh zakonske regulacije je nedvomno tak, a hudič je v podrobnostih, pravijo.

PS: Ker se v elektronskem sporočilu Petrol sklicuje na pravila uporabe, ki določajo, da je sporočilo zaupne narave in se ga ne sme objavljati (hm?), sem poslal vprašanje glede tega na navedeni naslov pošiljatelja elektronske pošte. A ta ne obstaja:

Delivery to the following recipient failed permanently:
petrolklub@petrol.si
...
550 #5.1.0 Address rejected.

To pa ni ravno lepo.

DefCon 20

DefCon je največja hekerska konferenca, ki je ravnokar proslavila dvajsetletnico svojega obstoja. Prve konference so imele nekaj sto udeležencev, med katere so se skušali infiltrirati tudi ameriški zvezni agenti. Hekerji so to hitro ugotovili in zato kar uvedli javno tekmovanje “Spot the Fed”. Dvajset let kasneje je DefCon brez dvoma najbolj množična konferenca za omrežno varnost, ki ima še vedno zelo jasno hekersko identiteto. Le da so sedaj zvezni agenti tudi čisto uradni gosti (“Spot the Fed” še vedno traja, dodana pa je prijazna “Meet the Fed” okrogla miza). Predprijava na konferenco ne obstaja, plačilo kotizacije ($200) pa je možno le v gotovini na licu mesta. No questions asked. DefCon je vedno v Las Vegasu, par dni prej pa lahko obiščete tudi Black Hat, ki je DefConov alter ego, namenjen bolj uradni publiki (temu primerna je tudi cena).

DefCon 20: Udeleženca

Udeleženca konference

Na DefConu boste takoj opazili nenavadno veliko ljudi, ki si na predavanjih zapiske delajo v blokce s kuliji. Saj: če kje, potem bodo luknjo v vašem laptopu našli tu. Seznam prestreženih gesel nepazljivih udeležencev na konferenčnem Wi-Fi omrežju redno osvežujejo na Wall of Sheep projekciji. Poleg predavanj se lahko udeležite različnih tekmovanj (v hekanju, razbijanju šifrirnih kod ali računalniških igrah), skupine pa se pomerijo v Capture the Flag tekmovanju.

Po toliko letih ima konferenca že svoje slavne osebnosti. Prvi je sigurno Jeff Moss alias Dark Tangent, kreator in organizator DefCona. Letos je govoril tudi Bruce Schneier, sigurno največju “guru” infoseca (nekateri mu pravijo tudi rock zvednik informacijske varnosti), na podpisovanje svojih knjig pa je prišel najbolj slavni heker do sedaj, Kevin Mitnick (preberite njegovo knjigo Ghost in the Wires).

Vse pa je močno zasenčil letošnji uvodni govorec, direktor NSA (National Security Agency), general Keith B. Alexander. Izkušen govorec, ki ni skoparil s komplimenti hekerski skupnosti. Na oder je povabil mlado CyFi, ki je zmagala na tekmovanju DefCon Kids in jo predstavil kot pozitiven zgled in up države v boju proti sovražnikom. Neposredno je izjavil, da je preiskovanje ranljivosti, ki ga opravlja hekerska skupnost, pomemben prispevek k izboljšanju varnosti in dodal: “We need you!” NSA je imela celo svojo stojnico na konferenci (in objavila možnosti zaposlitve), malo ironično zraven EFF (Electronic Frontier Foundation), ki je takoj po konferenci objavila prispevek o tem, zakaj NSA ne sme biti zadolžena za kibervarnost.

Bruce Schneier je naslednji dan na vprašanje o predavanju direktorja NSA dejal: “Pa ja niste nasedli?”

Predavanje raziskovalcv iz Penn State University o ranljivostih P25 radijskih naprav, ki jih uporablja ameriška vojska, policija, reševalci in gasilci (ter skoraj vse druge službe na terenu) me je spomnila na nedavno objavo GSM ranljivosti na Slo-techu pred nekaj tedni, sploh ko smo pri nas doma slišali tudi mnenja, da je vsako tako preiskovanje ranljivosti avtomatično tudi kaznivo. V ZDA so nemalokrat takšne raziskave državno financirane (v konkretnem primeru preko NSF, National Science Foundation). Posnetkov iz DefCona še ni, ogledate pa si lahko bolj ali manj isto predavanje iz USENIX konference.

Razbijanje gesel je zrela panoga, ki se je skladno s trendi premaknila v oblak (kot vse drugo). Pedavanje Cryptohaze Cloud Cracking je še enkrat zelo jasno izpostavilo, da so “nesoljena” gesla lahka tarča in da je potrebno pazljivo izbrati tudi samo sol. Časi, ko si je lahko “zaščito” izmislil poljubni programer spletne aplikacije, so brez kančka dvoma mimo! Programerji: uporabite bcrypt, če se le da, sicer pa sha-512 ali sha-256. Sol naj bo čimbolj naključna, nevezana na uporabnikov račun ali kakšno drugo njegovo lastnost. Moja priljubljena mantra letošnjega leta pa je: razvoju aplikacij naj sledi neodvisni varnostni pregled in testiranje.

Vseeno se je večina programske opreme z varnostnega stališča vendarle izboljšala v zadnjih desetih letih. Microsoft je bil takrat konstantno na sramotilnem stebru, danes nič več. Obrat je prišel pri njih s tem, ko je vodstvo ugotovilo, da je varnost operacijskega sistema pomemben del produkta in ustanovilo ekipe, ki so se zaščite lotile sistematično in jo vpele v procese razvoja. Takrat je Microsoft prvič tudi stopil v kontakt s CERT centri po svetu in neodvisnimi raziskovalci, ki so odkrivali napake. Obstajajo pa zatohli žepi na področju razvoja programske opreme, ki so ostali kar nekje v prejšnjem stoletju, med njimi je SCADA oprema.

SCADA (Supervisory Control And Data Acquisition) je oznaka za sisteme, s katerimi krmilimo industrijske procese. Lahko gre za krmiljenje tekočih trakov v proizvodnji, ali pa nadzorne sisteme za elektrarne, plinarne in raznovrstno drugo zanimivo infrastrukturo. Ker se je vsa zaščita tam prevedla na predpostavko, da ti nadzorni sistemi niso priključeni na internet, se zdi, kot da so razvijalci ostali na nivoju študenta, ki naredi svojo prvo resno aplikacijo. Prikazani so bili primeri hrambe gesel v čisti obliki, neumno zasnovanih obvodov okoli gesel in podobno. Ti sistemi bi morali biti deležni največje pozornosti, saj preko njih lahko manipuliramo s kritično infrastrukturo. Od te pa je odvisna kvaliteta, včasih pa tudi življenje samo. (Doma smo že obravnavali nekaj takih primerov, sigurno nas čaka še več. V romanu pa je tema obdelana v Russinovichevem Zero Day.)

Ogled predavanj, ko bodo na voljo na Youtubu, bi moral biti obvezen za vse, ki v državi sodelujejo pri vpeljavi (recimo) pametnih števcev in druge avtomatizacije naše infrastrukture. Da moramo zdaj poskrbeti za zdravo zasnovo in vse rešitve temeljito preveriti, je jasno prikazano na DefConu in vseh drugih konferencah informacijske varnosti. V stroki dileme o tem sploh ni. Kako to sporočilo spraviti do odločevalcev, je pa drugo vprašanje.

Anonymous se je podpisal na dvigalo (DefCon 20)

Čeprav konferenca še vedno nosi feeling hekerske subkulture iz 90. let prejšnjega stoletja, je jasno, da odrašča skupaj z ljudmi, ki so jo ustvarili. O tem priča sama popularnost konference in raznovrstna publika, hekerska tekmovanja za otroke (DefCon Kids) in nagovor direktorja NSA (tega noben jasnovidec ne bi mogel napovedati pred leti).

Enhanced by Zemanta

Zero Day

Zero Day (or 0-day) is a term in computer security denoting a vulnerability in software that is being exploited “in the wild” before authors of the software (vendors) and the rest of the computer security community is aware that there is one. Hence there are zero days to prepare for it. Zero Day is also a novel by Mark Russinovich published last year that revolves around that concept. In the novel, a group of Arab terrorists purchase a stalthy rootkit from a Russian hacker, combine that with various “off-the-shelf” virus components and succeed in infecting a large number of important computers in the West with the intention to crash the internet and computers that we now rely on so heavily. On the other side battling the virus are former CIA computer analyst now turned free-lance computer security consultant and the head of US-CERT, the US government Computer Emergency Readiness Team. The novel starts with a computer malfunction on a Boeing 787 flight that nearly results in a crash and is followed by a number of similar faults on assembly lines and a nuclear power plant. I will not go further into the plot as my intention is only to comment on the feasability of a virus bringing down the net. Get the book, it’s a nice read (preferrably on the beach, not on the plane, as I did).

Mark Russinovich is well-known and respected for the work on his Sysinternals tools. These were a must for anyone even mildly interested in Windows administration since late 1990s. Microsoft baught Russinovich’s company and Sysinternals are now being developed under Microsoft’s umbrella. Definitely a wise move on part of Microsoft. Russinovich’s background ensured me from the start that this is not going to be just another “facepalm” hacker novel where you have to be very lenient and swallow pretty far-fetched technical simplifications. No way – Russinovich makes sure that every technical detail is correct, even to the point where I thought that a couple of explanations in the story were maybe too hard to understand if you were not knowledgable in the field.

That being said, some things did strike me as unusual or odd. I’ll start with the most familiar for me: CERT cooperation. Fighting a virus like that would get a big part of the CERT community world-wide heavily engaged. There are several forums where CERTs meet, both virtually or in person and operational issues with new malware are routinely discussed. Add a number of free-lance and corporate computer security researchers to that and you get a mix that usually produces results in a matter of days. Recent cases of Stuxnet, Duqu and Flame are examples of that. Having two lone analysts fight the malware while US-CERT is not able to bring vendors and anti-virus companies on board is pretty strange.

The book describes several special cases which are of course used for the dramatic effect: an assembly line where robots go crazy and kill the supervisor, an airplane system causing a near crash, medical equipment killing people by overdosing medication, nuclear power plant getting close to core meltddown and a gigantic oil tanker smashing into the port. I think that in practice it would take a long time to design such viruses and every case would require a different virus altogether. One supervirus probably would not make sense. Is Boeing using a plain Windows system in the cockpit which can be subverted easily without a deep knowledge of how everything is “wired” together?

The virus (or viruses) in the book all seem to target one operating system: Windows. There is no mention (as far as I remember) of malware being multi-platform. So when Jeff and Sue discussed whether company backups are infected or not with, I kept thinking: “Why don’t you inspect backups on a different OS? Linux? Or Solaris, if you’re really afraid it will spread there too?”

And then the most important: internet is not (Windows) servers. The backbone consits of routers running specialised operating systems and exchanging routing information, a really big hierarchical DNS system and various services layered on top of that. All these also have vulnerabilities exploited every now and then, but bringing this down with one blow would be really hard. And to keep banging my drum: there are emergency response teams in place ready to kick in if such a thing happens. Expecting that such an attack would destroy a whole western civilization is a bit of a strech even for a terrorist blinded by faith.

Undoubtedly Russinovich made several decisions to simplify the tech in the book to make it digestable for non-geeks. And even after all that I said above, he does point out a serious problem. Not only have we become very reliant on computers and the network, we are implementing vulnerable consumer-grade systems to run critical systems. Military used to develop their own operating systems. Airplane and rocket control systems were developed using specialized programming environments designed to lower the risk of undefined behaviour of a program. Industrial control systems were not put on-line at all. This is all changing. The reason? It’s cheaper to use Windows/Linux and C++. Until it all goes horribly wrong, that is. And if you’re close when that happens, you’ll bear some of the externalization of that cost.

I hope they make a decent movie out of Zero Day.

 

Bodo internet volitve anonimne ali Anonymousove?

O volitvah preko interneta govorimo že nekaj let. Pri nas so se prve pobude pojavile leta 2003, potem je ideja prišla na plano spet kakšno leto pred državnozborskimi volitvami leta 2008. Volitve se običajno postavi ob bok e-bančništvu in drugim naprednim storitvam e-uprave, s prstom pa se pokaže na Estonijo, kot na vzor, kjer volitve preko interneta opravljajo že nekaj let.

V enem od prvih intervjujev je novoimenovani glasnik digitalne tehnologije Aleš Špetič povedal, da ne vidi razloga, da ne bi “katerih koli naslednjih volitev že opravili [v] e-obliki”. Zlorabe in poneverbe se mu zdijo tehnično težje izvedljive pri e-volitvah, kot pri klasičnih. Sam nisem tako prepričan.

Kadar govorimo o e-volitvah, imamo lahko v mislih eno od dveh možnosti: da opravimo volitve na voliščih s pomočjo elektronskih naprav, ali pa da volitve opravljamo na daljavo, kar iz domačega računalnika. Prve omogočajo strojno štetje glasov in so povzročile tudi nekaj kontroverznosti v ZDA od leta 2000 dalje (med drugim je Al Gore dobil -16.022 glasov, v občinskih volitvah leta 2003 v Boone County pa je bilo zabeleženo 140.000 glasov, čeprav tam živi vsega skupaj 50.000 ljudi). Elektronske naprave in programska oprema vsebuje različne napake (buge), to je izkusil že vsak od nas. Vendar pa bi rad pogledal bolj zanimive volitve: tiste preko interneta.

Eden od pogosto uporabljenih argumentov za internetne volitve je naslednji: če lahko preko interneta opravljamo finančne transakcije, lahko verjetno postavimo dovolj varen sistem tudi za volitve preko omrežja. Vendar pa je e-bančništvo že nekaj let stalna tarča organiziranega kriminala, ki najema hekerje za izdelavo vedno bolj naprednih virusov in trojancev. ZeuS in SpyEye se vmestita med banko in vaš brskalnik (ali kar vanj), ter prestrezata podatke o transakcijah, jih spreminjata “v letu” in preusmerjata denar, žrtvi pa v brskalniku kažeta, da je vse v redu. Takšnim napadom se ne izognemo s certifikatom, pametno kartico, digitalnim podpisom in šifriranjem komunikacije. Žal to ni dovolj, prav to jasno vidimo na primeru e-bančništva.

Čeprav imamo zrelo protivirusno industrijo, ki nudi tehnično zaščito pred okužbami z zlonamerno kodo, je več milijonov uporabnikov po svetu vseeno okuženih. Iz tega lahko izpeljemo sklep: če je nekaj tehnično možno, to še ne pomeni nujno tudi v praksi, da bo stanje najboljše od možnih.

Kot piše Bruce Schneier (verjetno najbolj znana osebnost s področja kriptografije in informacijske varnosti) je tudi pomembna razlika med finančnimi transakcijami in volitvami preko interneta. Tveganje pri prvih lahko “vračunamo” v sistem in ob zlorabah prekinemo ali storniramo transakcije. Proti škodi se lahko zavarujemo in oškodovancem se škoda lahko povrne preko različnih mehanizmov. Ko pride do zlorabe pri volitvah pa mogoče ne vemo več, kdo je kako volil. Volitve morajo volilcu omogočati anonimnost, zato moramo podatek o njem v nekem koraku zavreči. Od takrat naprej ne moremo več popraviti določenih zlorab. Izkušnje iz e-bančništva nam spet kažejo napredne napade, ki jih žrtev ne opazi, dokler ne ugotovi, da ni več denarja na računu (čeprav mu računalnik kaže, da še je). Pri volitvah pa te povratne informacije običajno ni. Ko oddamo glas za enega od kandidatov, ne dobimo potrdila o komu smo glasovali.

Marsikaterega od naštetih problemov verjetno lahko delno rešimo z zapleteno tehnično rešitvijo (Estonija je uporabila nekaj pragmatičnih prijemov), a z večanjem kompleksnosti sistema e-volitev nujno večamo tudi možnost napak. Vendar pa to niti ni tisto, kar me najbolj skrbi.

Po podatkih, ko smo jih zbrali na SI-CERT je trenutno vsaj 5.000-6.000 računalnikov v Sloveniji okuženih z DNSchanger virusom. Vsaj v toliko primerih tehnična zaščita ni pomagala. Kaj bi na naših volitvah pomenilo do 6.000 spremenjenih glasov? Koliko verjetno je, da bi nekdo res skonstruiral virus, ki bi bil namenjen spreminjanju glasov pri internet glasovanju in ga z enako uspešnostjo razširil med slovenske uporabnike? Pojma nimam.

Schneier pa opozori še na nekaj: kaj če se po volitvah javi nekdo in oznani, da je z vdorom spremenil izid volitev v prid eni stranki ali kandidatu. Predstavljajmo si recimo, da to oznani Anonymous. Kako bomo lahko dokazali, da se to ni zgodilo?

Pravo streznitev pa lahko ponudi primer v ZDA leta 2010. Pilotni projekt v Washingtonu D.C. je bil namenjen glasovanju preko spleta. Pred vpeljavo so uprizorili igrane volitve in pozvali k testiranju varnosti sistema. Skupine iz Univerze v Michiganu je uspela:

“… v 48 urah pridobiti skoraj popolni nadzor nad volilnim strežnikom. Uspeli smo spremeniti vse oddane glasove in razkriti vse tajne glasovnice. Volilni odbor ni odkril vdora vsaj dva delovna dneva – in bi morda tako ostalo, če ne bi nalašč pustili za seboj jasnega namiga.”

V 48 urah. Prof. Halderman, ki je vodil to “operacijo”, še dandanes dvomi v smiselnost volitev preko interneta.

Seveda pa bo na koncu vse odvisno od tega, kako bomo ocenili tveganje zlorab naproti prednostim. To odločitev bo naredila politika. Nekaj držav se je s tem že ubadalo. Koliko se bomo pri tem ukvarjali z možnimi odstopanji, napakami in zlorabami, ter predvideli ustrezne reakcije nanje? So internetne volitve res tisti ključni moment, ki bo s svojo enostavnostjo prepričal tudi popolnoma nezainteresirani del volilnega telesa, da končno odda svoj glas? Ali bo pa rezultat le, da bo potem politično zainteresirani fotr prepričal popolnoma indiferentne otroke in ženo, da lahko končno glasuje kar še v njihovem imenu? Ali pa nam je za to vseeno?

Na koncu pa še bistveno: ali so elektronske/internetne volitve res tisto, kar je v tem trenutku ključnega pomena za našo državo in je nujno treba uvesti čimprej, čeprav bo drago? No, tudi ta odločitev je stvar politike.

Dodano 30. 5. 2012: Žiga Dolhar v svojem prispevku “Tajnost in svoboda volitev v dobi informatizacije” sijajno obdela internetne volitve s pravne plati. Osredotoči se na tajnost in svododo volitev. Po mojem mnenju obvezno čtivo, s katerim bi moral začeti vsak, ki se bo lotil implementacije volitev po internetu.

Dodano 24. 6. 2013: Internet volitve so spet na dnevnem redu, v vmesnem času pa sem svoje argumente tudi predstavil na konferenci e-demokracija 2012, na voljo je video posnetek.