Recimo. Dandanes vas spletna mesta stalno obveščajo, da uporabljajo piškotke, ker tako zahteva EU direktiva, preslikana v lokalne zakonodaje. Zdi se mi, da so večini uporabnikov ta obvestilca bolj zoprna kot koristna, večina skrbnikov strežnikov pa vam samo pove, da bo s piškotki vaša izkušnja boljša in vam da na voljo samo potrditev, kar tudi ni čisto prava rešitev. Sam sem bil že od začetka skeptičen, da bo EU direktiva o piškotkih res dosegla namen: da vam veliki internet fevdalci ne bodo mogli več slediti. Navadili smo se hitro klikniti na OK/Potrdi, da gre obvestilo stran in lahko naredimo tisto, za kar smo na spletno mesto prišli.
EFF se je problema lotil drugače: z dodatkom za Firefox in Chrome brskalnika, ki preprečuje, da bi vam lastniki velikih spletišč in oglaševalci sledili med brskanjem. Dodatek se imenuje Privacy Badger in je seveda na voljo brezplačno. Morda lahko tu vidimo različne pristope k reševanju istega problema: bolj “inženirski”, ki najde tehnološko rešitev problema, ter bolj “pravniškega”, ki se tudi problemov novih tehnologij loti primarno s tem, da napiše nov zakon oz. direktivo. EU je tu izpustila lepo priložnost, da bi s financiranjem konkretne in dolgoročno vzdrževane programske rešitve uporabnikom samim omogočila nadzor nad uporabo spleta in prevzela s strani Komisije tako opevano vodilno vlogo na vsaj enem malem koščku informacijske družbe. No, je pa tu EFF.
∞
Poznamo več neskončnosti, sam se iz matematike spomnim števne in neštevne. Pri mobilnih operaterjih pa izraz “neskončno” uporabljajo za pakete, ki to niso, kar pa naj bi bilo itak vseem jasno. Tržni inšpektorat RS in Oglaševalsko razsodišče menita, da to ni problem. Osvežujoče je bilo na to temo poslušati predavanje ameriške FTC (Fedral Trade Commission) na DefConu o primerih, ko se borijo proti spornim praksam zasebnih podjetij na internetu.
Predavanje ni pustilo dvoma: če se brskanje “zabremza” po določeni količini, mora biti jasno prikazano in gre torej za zavajanje. Je pa to bil eden izmed bolj trivialnih primerov. Borijo se recimo tudi proti temu, da bi trgovci spremljali vaše gibanje po trgovini, čeprav se ne priključite na njihov Wi-Fi (zraven pa zajamejo še osebe, ki se gibajo izven prostorov trgovine). Ali pa še bolj noro: ko želi ponudnik neke storitve na internetu povezati vse vaše naprave, brez da bi vam to povedal. Kako? Z zvočnimi signali, ki so pod slišnim frekvenčnim pragom, elektronske naprave pa jih brez težav zaznajo in dekodirajo.
Na koncu so pozvali publiko, naj jim pomaga pri obravnavi tehnoloških vprašanj, ki posegajo v zasebnost posameznikov, ter dali nekaj nasvetov o tem, kako se boriti proti tovrstnim problemom. Z jasnimi razlagami problemov, trdnimi prispodobami, fokusiranjem na konkreten problem (in ne razložiti vsega interneta nasploh), ter izogibanju kraticam.
Sodeč po vprašanjih iz publike in močnem aplavzu, so to bili eni redkih “feds”, ki so bili na DefConu dobrodošli.
Pred enaindvajsetimi leti je Jeff Moss alias Dark Tangent v Las Vegasu naredil poslovilno zabavo za kanadskega prijatelja, ki je zaradi odhoda družine v tujino zapiral svoje BBS vozlišče. Prijatelj je žal moral na pot še preden se je začelo, a zabava za okoli 100 hekerjev je vseeeno stekla. Čeprav je bila mišljena kot enkratni dogodek, je eden od udeležencev Mossu po zaključku pisal in ga vprašal, kdaj bo naslednji DEF CON. Ostalo je zgodovina.
DEF CON nikakor ni običajna konferenca. Drugačna je že registracija nanjo, ki je možna samo na licu mesta in ob plačilu dvesto dolarjev v gotovini (letos 180). Nič vnaprej, nič kreditnih kartic ali Paypala. Prijava je anonimna in na značkah ni imen – vsak se lahko predstavlja kot želi in tako zlahka ohranja svoj omrežni jaz. Od sto hekerjev je udeležba zrasla na osem do deset tisoč ljudi. Tako se namreč reče navadnim udeležencem (human), za red in gladek potek pa skrbijo goons1, ki to veliko množico ljudi usmerjajo in skrbijo za varnost. To pa ob številu udeležencev ni majhna naloga.
Za registracijo se je pametno postaviti v vrsto pred pol osmo uro zjutraj prvi dan in tako le kakšno uro in pol čakati na registracijo. Če pa mislite preskočiti uvodna predavanja, je manjša vrsta popoldne. Ne mislite pa, da se boste brez značke izmuznili goonom in registrirali kasneje! Če imate nekaj smisla za uganke in šifriranje, si lahko brezplačno udeležbo priigrate z zmago v izzivu, ki je objavljen kakšen mesec prej na spletni strani.
DEF CON pravilo 3-2-1Vsaj tri ure spanja na dan.
Vsaj dva obroka hrane na dan.
Vsaj eno tuširanje na dan.
Prvi dan je DEF CON 101 in je namenjen vsem, ki so na konferenco prišli prvič. Razložili vam bodo osnovna pravila, nekaj zgodovine konference in ves spremljevalni program. Sledi nekaj bolj osnovnih predavanji. Vseeno je dan zapolnjen, konča se s projekcijo kakšnega relevantnega dokumentarnega filma ali zabavo ob hotelskem bazenu. Sledijo trije polni dnevi s predavanji v kar petih stezah in ob bogatem spremljevalnem programu.
“Spremljevalni program” za opis različnega DEF CON dogajanja zveni popolnoma suhoparno in neustrezno. Na konferenco nekateri sploh ne pridejo poslušat predavanj, ampak zato, da se dokažejo s svojo ekipo v hekerskem Capture the Flag tekmovanju (zadnja leta se lahko preizkusite tudi v različici za socialni inženiring). V Lockpick Village se lahko naučite odklepanja klasičnih ključavnic, na BCCC tekmujete s svojo napravo v hlajenju piva, lahko pa prvi dan preživite na toksičnem žaru (Toxic BBQ), kamor prinesete svojo hrano in recepte. Zvečer lahko na hekerskih kareokah tudi zapojete. Vsega je ogromno, organizatorji pa svojo družbeno ozaveščenost nedvomno kažejo tudi z dogodki za otroke (prej DEF CON kidz, zdaj r00tz), srečanji istospolno usmerjenih udeležencev queercon in podporo za udeležence z okvarami sluha DEAF CON.
Sem in tja lahko skočite pogledat, ali se je zaradi trenutne nepazljivosti kakšno vaše geslo ujelo na Zidu za ovce (Wall of Sheep). Tam lovijo udeležence, ki so prišli na hekersko konferenco in so tako neuki, da iz svojih naprav po brezskrbno po odprtem brezžičnem omrežju pošiljajo gesla v čisti obliki. Večina ujetih gesel je poštnih, preko IMAP ali POP3 protokola. Organizatorji ponujajo tudi varnejše brezžično omrežje s samoregistracijo, zato se velja takoj registrirati nanj in pozabiti na odprto omrežje. Ker pa se “nikoli ne ve,” si pred odhodom uredite še kakšen lastni šifrirani VPN dostop, preko katerega boste usmerjali ves svoj promet.
Letošnja predavanja
Predavanj je res veliko. Potekajo na petih, včasih celo šestih stezah. Od tega, kaj boste izbrali od predavanj, bo odvisen tudi občutek o kvaliteti predstavljenega. To boste hitro ugotovili v pogovorih med odmori, ko boste primerjali slišano vsebino. Predavanja se običajno končajo petnajst minut pred naslednjim, kar pusti dovolj časa za masovne migracije ljudi po hodnikih od ene predavateljske dvorane do druge.
Tokrat smo lahko poslušali o posebnostih IPv6 hekanja, ter uporabi Microsoftove lupine Powershell za “penetracijske teste”. No, ali pa za hekanje v tuje računalnike, ne? Oblaki so bili na tapeti, ko je bil predstavljen način pridobivanja neomejenega prostora na Dropboxu: datoteko razdelite na majhne koščke, te pa shranite kot različne verzije iste datoteke in izkoristite neomejene možnosti sledenja različic. Potem naredite svoj vmesnik, ki upravlja s tako shranjenimi podatki. Seveda boste v težavah takoj, ko bo Dropbox uvedel omejitve in zaščito pri shranjevanju različic. Prepričan sem, da kmalu.
Kako ne biti pwnan
možnost: papirnat blokec in kuli, ter star “neumen” telefon, ki ga boš zavrgel.
možnost: svež, ponastavljen in zaščiten prenosnik brez dostopa do podatkov doma, ki ga po konferenci zradiraš.
možnost: prenosnik ali tablica, ki lahko preko VPN dostopa pride le do manj občutljivih podatkov doma in določenih poštnih predalov, brez katerih ne moreš teh nekaj dni.
možnost: si l33t hax0r in tebe že ne bodo pwnali, vzameš svoj prenosnik. Srečno.
Že prvi dan smo z odra lahko slišali nekoliko zlobno pripombo, da s seboj ne nosite androidnih naprav, ker boste pwnani!2 Tako enostavno verjetno le ni, smo pa lahko vseeno slišali kar nekaj predavanj o takšnem ali drugačnem hekanju androida in pomanjkljivosti Googlove zaščite pri podtikanju zlonamernega programja v njegovo Play trgovino. Prikazan je bil tudi način vdora v Google Apps storitev z ukradenim android telefonom. Googlovi inženirji so sigurno sedeli med publiko.
Pomanjkljiva zaščita na popularnih spletnih mestih za poslušanje glasbe je izpostavila tiste ranljive, kjer lahko MP3 datoteke z manipulacijo spletnih zahtev zastonj shranite na svoj računalnik. Predavanje o izgradnji lastnega javascript botneta, kamor porazdelite svoje šifrirane datoteke se je končalo z zanimivim pogovorom o zanesljivosti in odpornosti takšnega botneta na izpade posameznih vozlišč. Letos je kar nekaj predavateljev tudi govorilo o reverznem inženiringu avtomobilskih sistemov, ki komponente povezujejo s CAM vodilom. Vsak prikaz konkretne izrabe varnostne luknje je pospremljen z vljudnim aplavzom publike, bolj zanimivi heki pa tudi s kakšnim vzklikom.
Dobro obiskano je bilo predavanje o DoS napadih, ki izkoriščajo slabosti IPv6 implementacije na različnih operacijskih sistemih in strežnike “zamrznejo” tudi brez podatkovnih poplav velikih botnetov. V drugem delu pa smo za kontrast lahko slišali izkušnje ponudnika CloudFlare ob letošnjih napadih na njegovo stranko Spamhaus, ki so dosegli pasovno širino kar 300 Gb/s. Napad je bil izveden preko odprtih rekurzivnih DNS strežnikov in predavatelj je opisal zamisel, da bi lahko za obrambo “rekurzivce” prepričali, da se napadejo medsebojno in se zato ne bi imeli več časa ukvarjati z napadom na originalno tarčo! Njihov pravnik ob tem presenetljivo ni rekel odločnega: “Ne!” vendar nadaljnjih podrobnosti v predstavitvi nismo slišali.
Predavanje o “mrcvarjenju podatkov” je pokazalo na nepredvidljive posledice kombiniranja javno dostopnih podatkov in je podalo protiutež “open data” inciativam, ki se verjetno ne zavedajo posledic na posameznikovo zasebnost.
Nekoliko napeto vzdušje pa je spremljalo ambasadorja ZDA, nekdanjega člana skupine za pogajanja o nuklearnem programu Severne Koreje. Potegnil je nekakšno paralelo med atomskim in kibernetskim orožjem, češ, zakaj tudi računalniški virusi ne bi bili predmet kakšne omejevalne mednarodne konvencije. Ni bilo sprejeto z navdušenjem, res pa so vprašanja iz publike kmalu začela vleči v smer NSA prisluškovanja.
Na DEF CON lahko obiščete tudi (recimo temu) podporna predavanja. “Kako razkriti ali prodati izrabo ranljivosti (exploit) in pri tem ne zaiti v težave” je opisovalo uzance ameriškega pravnega sistema, predvsem zakona CFAA (Computer Fraud and Abuse Act), drugje ste slišali o etičnih vprašanjih hekanja, lahko pa ste šli na delavnico o preprečevanju samomorilnosti, ki naj bi bila v delu hekerske skupnosti še kar prisotna. Med bolj bizarnimi pa bi omenil predavanje o zgodovini ukrepov vlade ZDA ob pojavu NLP (neznanih letečih predmetov) po drugi svetovni vojni. Misli te hitro odnesejo v Area 51 tam v bližini.
Streznitev
Enaindvajset je tista zaresna polnoletnost v ZDA, ko lahko alkoholno pijačo. DEF CON je lani z dvajsetlo obletnico obrnil nov list, ko je med glavnimi predavatelji daleč najbolj izstopal direktor NSA, general Keith B. Alexander. Takrat ni skoparil s komplimenti hekerski skupnosti in v majici EFF (Electronic Frontier Foundation) na oder povabil mlado CyFi, zmagovalko na DEF CON kidz tekmovanju, ter jo predstavil kot svetlo prihodnost ZDA. Čez kakšen dan je prvi guru informacijske varnosti Bruce Schneier pred publiko dejal: “Pa mu ja niste nasedli?!”
Vseeno je lani kazalo na pričetek sožitja s “feds”, zveznimi agenti, ki že od nekdaj v civilu hodijo na DEF CON. Letos je bilo v zraku jasno čutiti težo streznitve, ki jo je prineslo Snowdenovo razkritje programa PRISM. Pred konferenco je Jeff Moss objavil javni poziv vladnim uslužbencem, da naj se vzdržijo obiska. “Potrebujemo nekaj časa narazen,” je dejal. Tako je umanjkala tudi zabavna “Spot the Fed” aktivnost prepoznavanja agentov v civilu.
DEF CON je en in edini. Kako se bo razvijal v zrela leta, bomo videli, velik del njegove privlačnosti pa je njegov širši kontekst in številni dogodki v njem. Predavanja pa so ena boljših in so v celoti posneta, zato jih kar poiščite na Youtube.
Članek je bil objavljen v septemberski številki revije Monitor.
Login
EFF se je problema lotil drugače: z dodatkom za Firefox in Chrome brskalnika, ki preprečuje, da bi vam lastniki velikih spletišč in oglaševalci sledili med brskanjem. Dodatek se imenuje Privacy Badger in je seveda na voljo brezplačno. Morda lahko tu vidimo različne pristope k reševanju istega problema: bolj “inženirski”, ki najde tehnološko rešitev problema, ter bolj “pravniškega”, ki se tudi problemov novih tehnologij loti primarno s tem, da napiše nov zakon oz. direktivo. EU je tu izpustila lepo priložnost, da bi s financiranjem konkretne in dolgoročno vzdrževane programske rešitve uporabnikom samim omogočila nadzor nad uporabo spleta in prevzela s strani Komisije tako opevano vodilno vlogo na vsaj enem malem koščku informacijske družbe. No, je pa tu EFF.
