defcon

Enaki problemi, drugačne rešitve

Obisk DefCona izkoristim tudi za obnovitev članstva v EFF – Electronic Frontier Foundation. Zakaj plačujem članarino neprofitni ustanovi v ZDA? Zato, ker se z zelo konkretnimi ukrepi borijo za svobodo na omrežju: od plačevanja odvetnikov drznim risarjem stripov, do zagovarjanja omrežne nevtralnosti in boja proti ACTA, SOPA, TTIP, CISA, itn. sporazumom.

Recimo. Dandanes vas spletna mesta stalno obveščajo, da uporabljajo piškotke, ker tako zahteva EU direktiva, preslikana v lokalne zakonodaje. Zdi se mi, da so večini uporabnikov ta obvestilca bolj zoprna kot koristna, večina skrbnikov strežnikov pa vam samo pove, da bo s piškotki vaša izkušnja boljša in vam da na voljo samo potrditev, kar tudi ni čisto prava rešitev. Sam sem bil že od začetka skeptičen, da bo EU direktiva o piškotkih res dosegla namen: da vam veliki internet fevdalci ne bodo mogli več slediti. Navadili smo se hitro klikniti na OK/Potrdi, da gre obvestilo stran in lahko naredimo tisto, za kar smo na spletno mesto prišli.

badger-strokeEFF se je problema lotil drugače: z dodatkom za Firefox in Chrome brskalnika, ki preprečuje, da bi vam lastniki velikih spletišč in oglaševalci sledili med brskanjem. Dodatek se imenuje Privacy Badger in je seveda na voljo brezplačno. Morda lahko tu vidimo različne pristope k reševanju istega problema: bolj “inženirski”, ki najde tehnološko rešitev problema, ter bolj “pravniškega”, ki se tudi problemov novih tehnologij loti primarno s tem, da napiše nov zakon oz. direktivo. EU je tu izpustila lepo priložnost, da bi s financiranjem konkretne in dolgoročno vzdrževane programske rešitve uporabnikom samim omogočila nadzor nad uporabo spleta in prevzela s strani Komisije tako opevano vodilno vlogo na vsaj enem malem koščku informacijske družbe. No, je pa tu EFF.

Poznamo več neskončnosti, sam se iz matematike spomnim števne in neštevne. Pri mobilnih operaterjih pa izraz “neskončno” uporabljajo za pakete, ki to niso, kar pa naj bi bilo itak vseem jasno. Tržni inšpektorat RS in Oglaševalsko razsodišče menita, da to ni problem. Osvežujoče je bilo na to temo poslušati predavanje ameriške FTC (Fedral Trade Commission) na DefConu o primerih, ko se borijo proti spornim praksam zasebnih podjetij na internetu.

IMG_2321

Predavanje ni pustilo dvoma: če se brskanje “zabremza” po določeni količini, mora biti jasno prikazano in gre torej za zavajanje. Je pa to bil eden izmed bolj trivialnih primerov. Borijo se recimo tudi proti temu, da bi trgovci spremljali vaše gibanje po trgovini, čeprav se ne priključite na njihov Wi-Fi (zraven pa zajamejo še osebe, ki se gibajo izven prostorov trgovine). Ali pa še bolj noro: ko želi ponudnik neke storitve na internetu povezati vse vaše naprave, brez da bi vam to povedal. Kako? Z zvočnimi signali, ki so pod slišnim frekvenčnim pragom, elektronske naprave pa jih brez težav zaznajo in dekodirajo.

Na koncu so pozvali publiko, naj jim pomaga pri obravnavi tehnoloških vprašanj, ki posegajo v zasebnost posameznikov, ter dali nekaj nasvetov o tem, kako se boriti proti tovrstnim problemom. Z jasnimi razlagami problemov, trdnimi prispodobami, fokusiranjem na konkreten problem (in ne razložiti vsega interneta nasploh), ter izogibanju kraticam.

Sodeč po vprašanjih iz publike in močnem aplavzu, so to bili eni redkih “feds”, ki so bili na DefConu dobrodošli.

DEF CON 21

Pred enaindvajsetimi leti je Jeff Moss alias Dark Tangent v Las Vegasu naredil poslovilno zabavo za kanadskega prijatelja, ki je zaradi odhoda družine v tujino zapiral svoje BBS vozlišče. Prijatelj je žal moral na pot še preden se je začelo, a zabava za okoli 100 hekerjev je vseeeno stekla. Čeprav je bila mišljena kot enkratni dogodek, je eden od udeležencev Mossu po zaključku pisal in ga vprašal, kdaj bo naslednji DEF CON. Ostalo je zgodovina.

DEF CON 20 closing

DEF CON nikakor ni običajna konferenca. Drugačna je že registracija nanjo, ki je možna samo na licu mesta in ob plačilu dvesto dolarjev v gotovini (letos 180). Nič vnaprej, nič kreditnih kartic ali Paypala. Prijava je anonimna in na značkah ni imen – vsak se lahko predstavlja kot želi in tako zlahka ohranja svoj omrežni jaz. Od sto hekerjev je udeležba zrasla na osem do deset tisoč ljudi. Tako se namreč reče navadnim udeležencem (human), za red in gladek potek pa skrbijo goons1, ki to veliko množico ljudi usmerjajo in skrbijo za varnost. To pa ob številu udeležencev ni majhna naloga.

Za registracijo se je pametno postaviti v vrsto pred pol osmo uro zjutraj prvi dan in tako le kakšno uro in pol čakati na registracijo. Če pa mislite preskočiti uvodna predavanja, je manjša vrsta popoldne. Ne mislite pa, da se boste brez značke izmuznili goonom in registrirali kasneje! Če imate nekaj smisla za uganke in šifriranje, si lahko brezplačno udeležbo priigrate z zmago v izzivu, ki je objavljen kakšen mesec prej na spletni strani.

DEF CON pravilo 3-2-1Vsaj tri ure spanja na dan.

Vsaj dva obroka hrane na dan.

Vsaj eno tuširanje na dan.

Prvi dan je DEF CON 101 in je namenjen vsem, ki so na konferenco prišli prvič. Razložili vam bodo osnovna pravila, nekaj zgodovine konference in ves spremljevalni program. Sledi nekaj bolj osnovnih predavanji. Vseeno je dan zapolnjen, konča se s projekcijo kakšnega relevantnega dokumentarnega filma ali zabavo ob hotelskem bazenu. Sledijo trije polni dnevi s predavanji v kar petih stezah in ob bogatem spremljevalnem programu.

“Spremljevalni program” za opis različnega DEF CON dogajanja zveni popolnoma suhoparno in neustrezno. Na konferenco nekateri sploh ne pridejo poslušat predavanj, ampak zato, da se dokažejo s svojo ekipo v hekerskem Capture the Flag tekmovanju (zadnja leta se lahko preizkusite tudi v različici za socialni inženiring). V Lockpick Village se lahko naučite odklepanja klasičnih ključavnic, na BCCC tekmujete s svojo napravo v hlajenju piva, lahko pa prvi dan preživite na toksičnem žaru (Toxic BBQ), kamor prinesete svojo hrano in recepte. Zvečer lahko na hekerskih kareokah tudi zapojete. Vsega je ogromno, organizatorji pa svojo družbeno ozaveščenost nedvomno kažejo tudi z dogodki za otroke (prej DEF CON kidz, zdaj r00tz), srečanji istospolno usmerjenih udeležencev queercon in podporo za udeležence z okvarami sluha DEAF CON.

Sem in tja lahko skočite pogledat, ali se je zaradi trenutne nepazljivosti kakšno vaše geslo ujelo na Zidu za ovce (Wall of Sheep). Tam lovijo udeležence, ki so prišli na hekersko konferenco in so tako neuki, da iz svojih naprav po brezskrbno po odprtem brezžičnem omrežju pošiljajo gesla v čisti obliki. Večina ujetih gesel je poštnih, preko IMAP ali POP3 protokola. Organizatorji ponujajo tudi varnejše brezžično omrežje s samoregistracijo, zato se velja takoj registrirati nanj in pozabiti na odprto omrežje. Ker pa se “nikoli ne ve,” si pred odhodom uredite še kakšen lastni šifrirani VPN dostop, preko katerega boste usmerjali ves svoj promet.

Letošnja predavanja

Predavanj je res veliko. Potekajo na petih, včasih celo šestih stezah. Od tega, kaj boste izbrali od predavanj, bo odvisen tudi občutek o kvaliteti predstavljenega. To boste hitro ugotovili v pogovorih med odmori, ko boste primerjali slišano vsebino. Predavanja se običajno končajo petnajst minut pred naslednjim, kar pusti dovolj časa za masovne migracije ljudi po hodnikih od ene predavateljske dvorane do druge.

Tokrat smo lahko poslušali o posebnostih IPv6 hekanja, ter uporabi Microsoftove lupine Powershell za “penetracijske teste”. No, ali pa za hekanje v tuje računalnike, ne? Oblaki so bili na tapeti, ko je bil predstavljen način pridobivanja neomejenega prostora na Dropboxu: datoteko razdelite na majhne koščke, te pa shranite kot različne verzije iste datoteke in izkoristite neomejene možnosti sledenja različic. Potem naredite svoj vmesnik, ki upravlja s tako shranjenimi podatki. Seveda boste v težavah takoj, ko bo Dropbox uvedel omejitve in zaščito pri shranjevanju različic. Prepričan sem, da kmalu.

Kako ne biti pwnan

  1. možnost: papirnat blokec in kuli, ter star “neumen” telefon, ki ga boš zavrgel.
  2. možnost: svež, ponastavljen in zaščiten prenosnik brez dostopa do podatkov doma, ki ga po konferenci zradiraš.
  3. možnost: prenosnik ali tablica, ki lahko preko VPN dostopa pride le do manj občutljivih podatkov doma in določenih poštnih predalov, brez katerih ne moreš teh nekaj dni.
  4. možnost: si l33t hax0r in tebe že ne bodo pwnali, vzameš svoj prenosnik. Srečno.

Že prvi dan smo z odra lahko slišali nekoliko zlobno pripombo, da s seboj ne nosite androidnih naprav, ker boste pwnani!2 Tako enostavno verjetno le ni, smo pa lahko vseeno slišali kar nekaj predavanj o takšnem ali drugačnem hekanju androida in pomanjkljivosti Googlove zaščite pri podtikanju zlonamernega programja v njegovo Play trgovino. Prikazan je bil tudi način vdora v Google Apps storitev z ukradenim android telefonom. Googlovi inženirji so sigurno sedeli med publiko.

Pomanjkljiva zaščita na popularnih spletnih mestih za poslušanje glasbe je izpostavila tiste ranljive, kjer lahko MP3 datoteke z manipulacijo spletnih zahtev zastonj shranite na svoj računalnik. Predavanje o izgradnji lastnega javascript botneta, kamor porazdelite svoje šifrirane datoteke se je končalo z zanimivim pogovorom o zanesljivosti in odpornosti takšnega botneta na izpade posameznih vozlišč. Letos je kar nekaj predavateljev tudi govorilo o reverznem inženiringu avtomobilskih sistemov, ki komponente povezujejo s CAM vodilom. Vsak prikaz konkretne izrabe varnostne luknje je pospremljen z vljudnim aplavzom publike, bolj zanimivi heki pa tudi s kakšnim vzklikom.

Dobro obiskano je bilo predavanje o DoS napadih, ki izkoriščajo slabosti IPv6 implementacije na različnih operacijskih sistemih in strežnike “zamrznejo” tudi brez podatkovnih poplav velikih botnetov. V drugem delu pa smo za kontrast lahko slišali izkušnje ponudnika CloudFlare ob letošnjih napadih na njegovo stranko Spamhaus, ki so dosegli pasovno širino kar 300 Gb/s. Napad je bil izveden preko odprtih rekurzivnih DNS strežnikov in predavatelj je opisal zamisel, da bi lahko za obrambo “rekurzivce” prepričali, da se napadejo medsebojno in se zato ne bi imeli več časa ukvarjati z napadom na originalno tarčo! Njihov pravnik ob tem presenetljivo ni rekel odločnega: “Ne!” vendar nadaljnjih podrobnosti v predstavitvi nismo slišali.

Predavanje o “mrcvarjenju podatkov” je pokazalo na nepredvidljive posledice kombiniranja javno dostopnih podatkov in je podalo protiutež “open data” inciativam, ki se verjetno ne zavedajo posledic na posameznikovo zasebnost.

Nekoliko napeto vzdušje pa je spremljalo ambasadorja ZDA, nekdanjega člana skupine za pogajanja o nuklearnem programu Severne Koreje. Potegnil je nekakšno paralelo med atomskim in kibernetskim orožjem, češ, zakaj tudi računalniški virusi ne bi bili predmet kakšne omejevalne mednarodne konvencije. Ni bilo sprejeto z navdušenjem, res pa so vprašanja iz publike kmalu začela vleči v smer NSA prisluškovanja.

Na DEF CON lahko obiščete tudi (recimo temu) podporna predavanja. “Kako razkriti ali prodati izrabo ranljivosti (exploit) in pri tem ne zaiti v težave” je opisovalo uzance ameriškega pravnega sistema, predvsem zakona CFAA (Computer Fraud and Abuse Act), drugje ste slišali o etičnih vprašanjih hekanja, lahko pa ste šli na delavnico o preprečevanju samomorilnosti, ki naj bi bila v delu hekerske skupnosti še kar prisotna. Med bolj bizarnimi pa bi omenil predavanje o zgodovini ukrepov vlade ZDA ob pojavu NLP (neznanih letečih predmetov) po drugi svetovni vojni. Misli te hitro odnesejo v Area 51 tam v bližini.

Streznitev

Enaindvajset je tista zaresna polnoletnost v ZDA, ko lahko alkoholno pijačo. DEF CON je lani z dvajsetlo obletnico obrnil nov list, ko je med glavnimi predavatelji daleč najbolj izstopal direktor NSA, general Keith B. Alexander. Takrat ni skoparil s komplimenti hekerski skupnosti in v majici EFF (Electronic Frontier Foundation) na oder povabil mlado CyFi, zmagovalko na DEF CON kidz tekmovanju, ter jo predstavil kot svetlo prihodnost ZDA. Čez kakšen dan je prvi guru informacijske varnosti Bruce Schneier pred publiko dejal: “Pa mu ja niste nasedli?!”

Vseeno je lani kazalo na pričetek sožitja s “feds”, zveznimi agenti, ki že od nekdaj v civilu hodijo na DEF CON. Letos je bilo v zraku jasno čutiti težo streznitve, ki jo je prineslo Snowdenovo razkritje programa PRISM. Pred konferenco je Jeff Moss objavil javni poziv vladnim uslužbencem, da naj se vzdržijo obiska. “Potrebujemo nekaj časa narazen,” je dejal. Tako je umanjkala tudi zabavna “Spot the Fed” aktivnost prepoznavanja agentov v civilu.

DEF CON je en in edini. Kako se bo razvijal v zrela leta, bomo videli, velik del njegove privlačnosti pa je njegov širši kontekst in številni dogodki v njem. Predavanja pa so ena boljših in so v celoti posneta, zato jih kar poiščite na Youtube.

Članek je bil objavljen v septemberski številki revije Monitor.

DefCon 20

DefCon je največja hekerska konferenca, ki je ravnokar proslavila dvajsetletnico svojega obstoja. Prve konference so imele nekaj sto udeležencev, med katere so se skušali infiltrirati tudi ameriški zvezni agenti. Hekerji so to hitro ugotovili in zato kar uvedli javno tekmovanje “Spot the Fed”. Dvajset let kasneje je DefCon brez dvoma najbolj množična konferenca za omrežno varnost, ki ima še vedno zelo jasno hekersko identiteto. Le da so sedaj zvezni agenti tudi čisto uradni gosti (“Spot the Fed” še vedno traja, dodana pa je prijazna “Meet the Fed” okrogla miza). Predprijava na konferenco ne obstaja, plačilo kotizacije ($200) pa je možno le v gotovini na licu mesta. No questions asked. DefCon je vedno v Las Vegasu, par dni prej pa lahko obiščete tudi Black Hat, ki je DefConov alter ego, namenjen bolj uradni publiki (temu primerna je tudi cena).

DefCon 20: Udeleženca

Udeleženca konference

Na DefConu boste takoj opazili nenavadno veliko ljudi, ki si na predavanjih zapiske delajo v blokce s kuliji. Saj: če kje, potem bodo luknjo v vašem laptopu našli tu. Seznam prestreženih gesel nepazljivih udeležencev na konferenčnem Wi-Fi omrežju redno osvežujejo na Wall of Sheep projekciji. Poleg predavanj se lahko udeležite različnih tekmovanj (v hekanju, razbijanju šifrirnih kod ali računalniških igrah), skupine pa se pomerijo v Capture the Flag tekmovanju.

Po toliko letih ima konferenca že svoje slavne osebnosti. Prvi je sigurno Jeff Moss alias Dark Tangent, kreator in organizator DefCona. Letos je govoril tudi Bruce Schneier, sigurno največju “guru” infoseca (nekateri mu pravijo tudi rock zvednik informacijske varnosti), na podpisovanje svojih knjig pa je prišel najbolj slavni heker do sedaj, Kevin Mitnick (preberite njegovo knjigo Ghost in the Wires).

Vse pa je močno zasenčil letošnji uvodni govorec, direktor NSA (National Security Agency), general Keith B. Alexander. Izkušen govorec, ki ni skoparil s komplimenti hekerski skupnosti. Na oder je povabil mlado CyFi, ki je zmagala na tekmovanju DefCon Kids in jo predstavil kot pozitiven zgled in up države v boju proti sovražnikom. Neposredno je izjavil, da je preiskovanje ranljivosti, ki ga opravlja hekerska skupnost, pomemben prispevek k izboljšanju varnosti in dodal: “We need you!” NSA je imela celo svojo stojnico na konferenci (in objavila možnosti zaposlitve), malo ironično zraven EFF (Electronic Frontier Foundation), ki je takoj po konferenci objavila prispevek o tem, zakaj NSA ne sme biti zadolžena za kibervarnost.

Bruce Schneier je naslednji dan na vprašanje o predavanju direktorja NSA dejal: “Pa ja niste nasedli?”

Predavanje raziskovalcv iz Penn State University o ranljivostih P25 radijskih naprav, ki jih uporablja ameriška vojska, policija, reševalci in gasilci (ter skoraj vse druge službe na terenu) me je spomnila na nedavno objavo GSM ranljivosti na Slo-techu pred nekaj tedni, sploh ko smo pri nas doma slišali tudi mnenja, da je vsako tako preiskovanje ranljivosti avtomatično tudi kaznivo. V ZDA so nemalokrat takšne raziskave državno financirane (v konkretnem primeru preko NSF, National Science Foundation). Posnetkov iz DefCona še ni, ogledate pa si lahko bolj ali manj isto predavanje iz USENIX konference.

Razbijanje gesel je zrela panoga, ki se je skladno s trendi premaknila v oblak (kot vse drugo). Pedavanje Cryptohaze Cloud Cracking je še enkrat zelo jasno izpostavilo, da so “nesoljena” gesla lahka tarča in da je potrebno pazljivo izbrati tudi samo sol. Časi, ko si je lahko “zaščito” izmislil poljubni programer spletne aplikacije, so brez kančka dvoma mimo! Programerji: uporabite bcrypt, če se le da, sicer pa sha-512 ali sha-256. Sol naj bo čimbolj naključna, nevezana na uporabnikov račun ali kakšno drugo njegovo lastnost. Moja priljubljena mantra letošnjega leta pa je: razvoju aplikacij naj sledi neodvisni varnostni pregled in testiranje.

Vseeno se je večina programske opreme z varnostnega stališča vendarle izboljšala v zadnjih desetih letih. Microsoft je bil takrat konstantno na sramotilnem stebru, danes nič več. Obrat je prišel pri njih s tem, ko je vodstvo ugotovilo, da je varnost operacijskega sistema pomemben del produkta in ustanovilo ekipe, ki so se zaščite lotile sistematično in jo vpele v procese razvoja. Takrat je Microsoft prvič tudi stopil v kontakt s CERT centri po svetu in neodvisnimi raziskovalci, ki so odkrivali napake. Obstajajo pa zatohli žepi na področju razvoja programske opreme, ki so ostali kar nekje v prejšnjem stoletju, med njimi je SCADA oprema.

SCADA (Supervisory Control And Data Acquisition) je oznaka za sisteme, s katerimi krmilimo industrijske procese. Lahko gre za krmiljenje tekočih trakov v proizvodnji, ali pa nadzorne sisteme za elektrarne, plinarne in raznovrstno drugo zanimivo infrastrukturo. Ker se je vsa zaščita tam prevedla na predpostavko, da ti nadzorni sistemi niso priključeni na internet, se zdi, kot da so razvijalci ostali na nivoju študenta, ki naredi svojo prvo resno aplikacijo. Prikazani so bili primeri hrambe gesel v čisti obliki, neumno zasnovanih obvodov okoli gesel in podobno. Ti sistemi bi morali biti deležni največje pozornosti, saj preko njih lahko manipuliramo s kritično infrastrukturo. Od te pa je odvisna kvaliteta, včasih pa tudi življenje samo. (Doma smo že obravnavali nekaj takih primerov, sigurno nas čaka še več. V romanu pa je tema obdelana v Russinovichevem Zero Day.)

Ogled predavanj, ko bodo na voljo na Youtubu, bi moral biti obvezen za vse, ki v državi sodelujejo pri vpeljavi (recimo) pametnih števcev in druge avtomatizacije naše infrastrukture. Da moramo zdaj poskrbeti za zdravo zasnovo in vse rešitve temeljito preveriti, je jasno prikazano na DefConu in vseh drugih konferencah informacijske varnosti. V stroki dileme o tem sploh ni. Kako to sporočilo spraviti do odločevalcev, je pa drugo vprašanje.

Anonymous se je podpisal na dvigalo (DefCon 20)

Čeprav konferenca še vedno nosi feeling hekerske subkulture iz 90. let prejšnjega stoletja, je jasno, da odrašča skupaj z ljudmi, ki so jo ustvarili. O tem priča sama popularnost konference in raznovrstna publika, hekerska tekmovanja za otroke (DefCon Kids) in nagovor direktorja NSA (tega noben jasnovidec ne bi mogel napovedati pred leti).

Enhanced by Zemanta