Objavljeno: 26.8.2014 | Avtor: Gorazd Božič, SI-CERT | Monitor September 2014

Letala, avtomobili in internet stvari

Sredi poletja Las Vegas postane središče dogajanja za računalniško varnost. Najstarejšemu hekerskemu srečanju DefCon delata družbo še BlackHat in BSides Las Vegas. Morda gre za naključje, a ravno v tem času je letos prišlo do nekaj razkritij ranljivosti, kot bi podjetja, ki se ukvarjajo z računalniško varnostjo, lovila medijsko najugodnejši čas.

Milan Gabor iz podjetja Viris predava o vakcinaciji androidnih aplikacij.

Milan Gabor iz podjetja Viris predava o vakcinaciji androidnih aplikacij.

DEF CON je postal pojem že pred časom. Ob dvajseti obletnici je dobil uradni »žegen« tudi z vabljenim predavanjem generala Keitha B. Alexandra, direktorja NSA. Res je kazalo na preobrat s pobotanjem, a kmalu zatem so prišla na dan Snowdnova razkritja in iluzija nove dobe sožitja države in hekerske skupnosti se je razsula na drobce. Naslednje leto je pobudnik in organizator DEF CON,  Jeff Moss, alias »Dark Tangent«, celo uradno pozval predstavnike tričrkovnih agencij ZDA (predvsem FBI, CIA in NSA, tako imenovane »The Feds«), naj se vzdržijo obiska. Letos je konferenca dosegla rekord z več kot 15.000 udeleženci.

Za razliko od drugih konferenc je tu možno plačilo samo v gotovini (letos 220 dolarjev, lani 180), račun pa objavijo kar v spletu in si ga lahko vsak natisne sam. Kljub gneči je organizacija zgledna in goons - varnostniki skrbijo, da gre vse po načrtu, tako prvi dan kot tudi vso konferenco. Ob registraciji dobite program, dva cedeja s hekanju primerno glasbo in pobliskavajoči elektronski obesek, ki je tudi izziv – nanj se lahko priključite prek vrat USB in greste razbijat na njem skrito sporočilo. Pri tem si pomagate z namigi z enega od cedejev. Obesek lahko tudi programsko spremenite in najbolj izvirni modifikaciji na koncu konference podelijo nagrado.

Vprašanj je bilo letos manj, ljudje so hiteli iz ene dvorane v drugo.

Vprašanj je bilo letos manj, ljudje so hiteli iz ene dvorane v drugo.

Predavanja

Program je vsekakor pester in predavanja potekajo na petih stezah. Najdete vse: od razkritja ranljivosti in novih hekov, zaščite sistemov, problemov z infrastrukturo pa vse do pravnih vprašanj in zadnji dve leti seveda tudi tem, povezanih s hektivizmom in človekovimi pravicami. Predavanje s hekersko nedvomno nadvse privlačnim naslovom, »Hacking the FBI«, ni, recimo, govorilo o tem, kako vdreti v to ustanovo, temveč je dolgoletni aktivist za pravice živali Ryan Noah Shapiro pokazal, kako želi razvozlati postopek na FBI, po katerem se tam odločijo, da bodo zavrnili vpogled v določeno dokumentacijo, zahtevano na podlagi zakona Freedom of Information Act (FOIA). Prikazal je, kako se FBI preprosto ne drži zakona in želi zdaj celo Shapirove FOIA zahtevke v sklopu njegove doktorske dizertacije na sodišču prikazati kot grožnjo nacionalni varnosti.

Redni predavatelj Richard Thieme pa je tokrat govoril o vprašanju, komu lahko sploh še verjamemo v današnjem svetu, kjer vse več stvari kaže na to, da so obveščevalne službe velikih držav v takšni ali drugačni povezavi z množičnimi mediji in prek njih opravljajo svojo propagando. Filozofski pogled, ki pa zaskrbljujoče briše mejo med realnostjo, kot si jo predstavljamo vsak dan, in teorijo zarote.

No, da ne bo pomote: večina programa je še vedno posvečena ranljivostim naprav in programske opreme in klasičnemu hekanju. Lani so prišli na program avtomobili in tudi letos smo lahko slišali nekaj o tem. Charlie Miller (Twitter) in Chris Valasek (IOactive) sta si zadala za cilj, priti do funkcij avta prek vmesnika bluetooth. Projekt sta šele dobro zastavila in prikazala sta sheme omreženja različnih sistemov v avtu, ki že vnaprej kaže, da se nekateri izdelovalci bolje lotevajo zaščite (recimo BMW, stroga ločitev sistemov), drugi pa ne ravno najbolje (prikazala sta shemo povezav v Toyoti, kjer je vse povezano z vsem in tako potencialno daje več možnosti hekerju).

Nekaj predavanj se je lotilo interneta stvari (Internet of Things ali IoT), ki počasi izriva vse, kar je »oblačno«, iz besednjaka različnih informacijskih prerokov. Mnenje v skupnosti je enotno: naprave bodo imele varnostne pomanjkljivosti in jih bo mogoče pohekati. Kako si izdelovalci predstavljajo nadgradnje programja na svojih napravah, ni znano. Vsi nekako slutimo, da se s tem v različnih start-up podjetjih sploh ne ukvarjajo, ker ni časa, in, še več: da snovalce to preprosto ne zanima. Tudi zato, ker o zaščiti nimajo pojma (če smo neposredni). Lep prikaz stanja je bilo predavanja Heknimo vse stvari: 20 naprav v 45 minutah! Hladilniki, baby alarmi, televizorji, »pametne« vtičnice, svetila LED in tako naprej.

Zid ovac s prestreženimi gesli.

Zid ovac s prestreženimi gesli.

Slišali pa smo tudi drugo plat: profesor Phil Polstra in »kapitanka Polly« (tudi profesorica na univerzi, prej pilotka potniških letal) sta v predavanju »Kibernetsko ugrabljanje letal: resnica ali fikcija?« predstavila protokole ADS-B, ADS-A, ACARS in sisteme, ki se uporabljajo v komercialnem letalstvu, ter utemeljila, da ni tako enostavno. Omrežja na letalu ne govorijo interneta in etherneta, vodenje letala nikoli ne vsebuje brezžičnih komponent krmiljenja in piloti imajo vedno na voljo še dobre stare mehanske sisteme. Da bi nekdo prevzel letalo kar prek sistema za predvajanje filmov, je bolj filmski scenarij.

Letos smo na DEF CON lahko poslušali tudi prva predavatelja iz Slovenije: Milan Gabor in Danijel Grah iz podjetja Viris d.o.o. sta pokazala v delavnici na Zidu ovac (Wall of Sheep), kako lahko med izvajanjem delamo vpoglede in celo dodajamo kodo androidnim aplikacijam. Lokaciji predavanja ustrezno sta med drugim tudi na primeru aplikacije kvartopirske igre Black Jack pokazala, kako lahko pogoljufamo in si ogledamo naslednje karte, ki bodo razdeljene, ter tako zmagamo.

Najbolj zabavno predavanje, kar sem jih poslušal, pa je bilo nedvomno tisto o »War Kitteh« in »Denial of Service Dog« – kako domače živali spremeniti v kiberorožje. Gene Bransfield je opisal, kako se je naučil sestavljati vezja in spajkati, ko si je zadal za cilj: domačo mačko uporabiti za odkrivanje brezžičnih omrežij v soseski. Sestavil je ovratnico, ki je beležila wi-fi omrežja, njihove lastnosti in mačkine koordinate GPS. Najprej je sledilo razočaranje, ko je mačka ves dan ležala pod grmom doma, sčasoma pa se je le odpravila naokrog. Naslednji podvig pa je bila namestitev Pineapplovega wi-fi prestreznika v pasji jopič, ki je »ugrabil« vsa znana omrežja in njihove uporabnike preusmeril na stran, kjer so lahko gledali plešočega psa in nič drugega. Predavatelj in lastnik psa sta se s tako oboroženim psom nato odpravila po lokalih. Povsod so mislili, da gre za službenega psa (service dog), le en natakar je prišel vprašati, kaj pravzaprav je »Denial of Service Dog« (po slovensko v tem kontekstu nekako »pes za odrekanje služnosti«).

Za dozo ironije pa je med konferenco poskrbel neznanec, ki je našel ranljivost v wi-fi prestreznih napravah Pineapple podjetja hak5 in si je naprave prilastil (v žargonu »pwnal«) ter njihovim lastnikom sporočil, naj se ne gredo nekakšnega hekanja, če nimajo pojma. Naprave Pineapple se uporabljajo kot prestrezniki, ki simulirajo poljubna omrežja, na katera se želijo ljudje (oziroma njihove naprave) priklopiti. Z njimi se izvaja kraja podatkov man-in-the-middle.

Spremljevalni program

DEF CON seveda ni samo konferenca. Nekateri pridejo poslušat predavanja, drugi na različna tekmovanja v hekanju ali sestavljanju najbolj odštekane naprave za hlajenje piva. Spet tretji pa pridejo tja samo žurirat. Urite se lahko tudi v odklepanju ključavnic ali družbenem inženirstvu, igrate igrice in seveda hekate obesek. Tudi v petju karaok se lahko predstavite zvečer … V eni od dvoran so izdelovalci različne opreme, založniki in umetniki, povezani s hekersko skupnostjo. Tudi frizerja imate na voljo, ki brije na »irokeza« in vam pobarva lase. Povsod je navzoč tudi tesni partner konference DEF CON, organizacija Electronic Frontier Foundation (eff.org), ki se bori za omrežne pravice posameznikov. Tokrat pa smo med razstavljalci lahko našli tudi predstavnike izdelovalca električnih vozil Tesla. Lastnik in direktor Elon Musk je nedavno izjavil, da ne bo nikogar preganjal za uporabo njegovih patentov, in se je ob novici, da so kitajski študentje »pohekali« njihov model S, odzval pozitivno in podprl t. i. odgovorno razkrivanje ranljivosti, kjer raziskovalci podrobnosti sporočijo izdelovalcu in mu dajo priložnost, da jih odpravi.

Obesek, ki ga dobi vsak udeleženec in je obenem tudi hekerski izziv.

Obesek, ki ga dobi vsak udeleženec in je obenem tudi hekerski izziv.

Torej, se splača?

To je kar pogosto vprašanje. Je DEF CON res tako drugačen? Je. Vsekakor je nekaj posebnega, o tem ni dvoma. Predavanja so vedno strokovno na ravni in pokrivajo res širok spekter tem, čeprav marsikdo potoži, da je pričakoval več neposrednega hekanja in objav 0-day ranljivosti. Ampak za ceno 220 dolarjev dobite res veliko, kar zadeva vsebino in tudi doživetja. Le da moramo Evropejci prišteti k temu še letalsko karto (od 1000 do 1500 evrov), stroški namestitve pa so lahko sorazmerno nizki, saj so hoteli zaradi igralniškega posla poceni. »Mesto greha« morda res ni najprimernejša lokacija za strokovno konferenco, a prvi dogodek DEF CON je bil pravzaprav poslovilna zabava za prijatelja leta 1992, razvila se je v srečanje hekerjev in potem v največjo hekersko konferenco. Zato organizator očitno meni, da je okolje pravo.

Letos me je kar dostikrat prešinilo, da je DEF CON po svoje že postal žrtev lastnega uspeha. Gneča je bila tokrat tolikšna, da je bilo težko priti na določena predavanja, in še pred koncem enega so ljudje zapuščali dvorano in se brž postavili v vrsto za kak drug sklop. Okoli kosila smo doživljali napad onemogočanja v Chillout Cafe, ko smo s sendviči, solatami ali sušijem čakali v dooooooooooolgih vrstah, pred hotelskimi restavracijami pa ni bilo nič bolje. Pripomb čez gnečo je bilo tokrat veliko, pa tudi razočaranje tistih, ki so prišli na registracijo malo kasneje, je bilo precejšnje, saj je zmanjkalo elektronskih obeskov in so dobili le papirnate. Organizator pa je napovedal, da bo DEF CON 23 potekal na dveh drugih lokacijah v Las Vegasu: v hotelih Bally’s in Paris, morda ima v rokavu skrit načrt, kako narediti gnečo znosnejšo.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji