30C3

Reportáž z 30C3: Zabudnite na súkromie!

Chaos Communication Congress je najstaršia hackerská konferencia na svete a najväčšia svojho druhu v Európe. Koná sa koncom každého roka v Hamburgu a prináša aktuálny výskum v oblasti bezpečnosti, sietí a čoraz častejšie aj politiky a iných tém blízkych myšlienke “hackingu” — hľadaniu netradičných využití myšlienok, technológií a vecí okolo nás.

Po konferencii mám posledné roky vždy podobný dojem: Naša “paranoia” nie je dostatočná, technológie sú deravé a veľké štáty nám čoraz viac zasahujú do súkromia a ostatných práv. Tento rok nebol výnimkou, práve naopak: Jacob Appelbaum posledný deň predstavil ďalšie z dokumentov od Edwarda Snowdena spolu s technologickou analýzou. Vo svojej prednáške To Protect and Infect (Part 2) okrem iného odhalil “katalóg odpočúvacích technológií” NSA. Mal som pocit, že čítam dystopický špionážny román — že všetky konšpiračné teórie o tom čo NSA dokáže sú pravdivé a konšpirační teoretici nemali dostatočnú fantáziu na to, aby popísali to, čo sa v skutočnosti deje.

Už v priebehu minulého roka sme sa dozvedeli, že NSA odpočúva väčšinu veľkých internetových služieb ako Gmail, Yahoo, Microsoft a pod. Pri niektorých evidentne druhá strana spolupracovala, pri iných NSA jednoducho odpočúvala internetovú prevádzku alebo prevádzku medzi datacentrami danej firmy. Mnohí mobilní operátori museli svojich zákazníkov zbaviť súkromia na základe súdneho príkazu tajného súdu, ktorý nie je pod kontrolou verejnosti.

sukromie

Photo credit: Blinkenarea.org CC-BY-SA-3.0

Jacob Appelbaum predstavil ďalšie zo Snowdenových dokumentov, ktoré okrem iného popisujú, že NSA vie nainštalovať malware do BIOSu počítača, do firmware pevného disku (takéto malware prežijú aj plnú reinštaláciu operačného systému). V spolupráci s americkým Národným Inštitútom pre Štandardy a Technológie (NIST) schválili štandard generátora náhodných čísel, ktorý má backdoor vyvinutý v NSA. Ktokoľvek, kto chce predávať produkty, ktoré dodržiavajú štandard FIPS museli tento algoritmus implementovať. Niektoré firmy ako napr. RSA ho niekoľko mesiacov mali ako štandardný generátor náhodných čísel. NSA vďaka nemu vedela do veľkej miery rekonštruovať privátne šifrovacie kľúče a tak odpočúvať prevádzku.

Pri odpočúvaní nie je však NSA iba pasívna. Aj keď väčšina “sond” naozaj nevie meniť dáta, ďalší z programov NSA s názvom Quantum Insert tento “problém” rieši. NSA kontroluje množstvo routrov po celom svete (vrátane domácich routrov) a umožňuje “vložiť” do existujúceho TCP spojenia svoje vlastné dáta. Tento nástroj používa na infikovanie počítačov svojim neodstrániteľným špionážným malware — nakaziť sa môžete napríklad pri sťahovaní skutočného programu z Internetu. Nastal čas naozaj overovať digitálne podpisy pri softvéri…

Fakt, že NSA má špeciálny program na výrobu hardvérových “backdoorov”, ktoré inštaluje do notebookov a serverov medzi tým ako si ich človek objedná a prídu k nemu (sú odchytené počas prepravy a modifikované tak, aby obsahovali zadné vrátka) nám už naozaj prišiel ako zo zlého špionážneho románu, škoda však, že je to realita.

Bankomaty, traste sa

NSA však nie je jediným zlým hráčom vo svete bezpečnosti. Výskumníkom sa podarilo odhaliť špeciálny malware, ktorý bol nainštalovaný v niekoľkých bankomatoch. Zločinecká organizácia ich za pomoci tohto malware vykrádala. Spôsob inštalácie bol pomerne jednoduchý — útočníci vyrezali dieru do plastu a pripojili vlastný USB kľúč. Potom spôsobili reštart bankomatu, ktorý z neho naštartoval a bankomat nainfikoval. Po zadaní krátkeho kódu mal útočník možnosť získať prístup do špeciálneho menu, ktoré mu umožňovalo zistiť obsah zásobníkov na bankovky. V prípade, že ich chcel vybrať, musel zavolať “do centrály” tejto organizácie a nahlásiť unikátny kód.

Pomocou challenge-response algoritmu mu povedali unikátnu odpoveď a tak v centrále vedeli, ktorí “pešiaci” vybrali ktoré bankomaty. Útočníkov doteraz nikto nechytil, pretože ľudia, ktorí bankomaty vyberali nevedia, kto organizáciu riadi a sú použití len ako fyzické osoby, ktoré peniaze vyberajú. Malware sa pomerne aktívne vyvíja a svojou sofistikovanosťou dáva trpkú príchuť starým vtipom o hackeroch s krompáčmi, ktorí vykrádajú bankomaty.

30C3

30C3 Lounge, photo credit: Moritz Petersen CC-BY-SA-3.0

Rok v kryptografii

Pokračovanie minuloročnej prednášky o vývoji v kryptografii nasvedčuje tomu, že Dan J. Bernstein, Nadia Heninger a Tanja Lange začínajú ďalšiu tradíciu. Vo svojej prednáške The Year In Crypto popisujú, čo sa stalo v oblasti kryptografie. Okrem backdoorov, problémov s TLS, generátormi náhodných čísel a pod. sme sa dozvedeli o blížiacej sa “kryptokalypse”, ktorú veľmi pravdepodobne spôsobí príchod kvantových počítačov. Minimálne NSA sa snaží jeden postaviť a jeho cieľ je lámanie šifier. Aké šifry je vhodné používať po nástupe kvantových počítačov? Pozrite si záznam prednášky online.

Taktiež musíme pochváliť Google za zavedenie Perfect Forward Secrecy a zavedenie šifrovania medzi svojimi datacentrami. Perfect Forward Secrecy zabezpečí, že aj v prípade kompromitácie privátnych kľúčov nie je možné spätne dešifrovať spojenie — kľúče sa používajú na ochranu identity a na výmenu šifrovacích kľúčov sa používa asymetrický algoritmus (ECDSA alebo DSA). V praxi to znamená, že ak sa niekto dostane k privátnemu kľúču a zároveň má obrovskú odpočúvaciu sieť po celom svete, musí aktívne zaútočiť na každé spojenie (pomocou tzv. man in the middle útoku), nestačí pasívne počúvať.

Že taká organizácia neexistuje? E-mailový poskytovateľ Lavabit musel podľa dostupných informácií odovzdať americkej vláde svoje privátne kľúče na základe tajného súdneho príkazu. A NSA zhodou okolností má celosvetovú odpočúvaciu sieť. Veríme, že toto sťaží masové necielené odpočúvanie nevinných ľudí…

Klop, klop, internet!

Pre pár bláznov z nás je dôležité vedieť, koľko počítačov na Internete žije, či používajú šifrovanie a či majú aktualizovaný softvér. A niektorí z nás snívali o tom, že to zistia tak, že oskenujú celý Internet, aby našli presné odpovede na svoje otázky. Zakir Durumeric z Michiganskej univerzity so svojim tímom je však jediný, kto sa na to podujal — napísal skener zmap, ktorý rádovo za pár hodín dokáže oskenovať celý Internet. Takýmto spôsobom boli schopní zozbierať používané SSL certifikáty a vyhodnotiť koľko z nich používa kompromitované kľúče. Taktiež sa im podarilo zistiť, koľko počítačov má diery v uPnP alebo vzdialenom menežmente pomocou IPMI. Výsledky nájdete v jeho prednáške alebo na zmap.io, ale ak máte akékoľvek ilúzie o bezpečnosti na Internete, odporúčam pred pozeraním prednášky začať zhlboka dýchať…

Novinári, whistlebloweri

Okrem technických prednášok sa samozrejme konali aj politické prednášky. Keynote odprezentoval Glen Greenwald, nezávislý novinár, ktorý publikuje leaky od Edwarda Snowdena. Hovoril o práve na súkromie a o obrovskom zneužívaní moci na odpočúvanie, zastrašovanie a pod. Z WikiLeaks sme si mohli vypočuť Juliana Assangea (ktorému bohužiaľ vypadávalo video spojenie — ešte stále nemôže opustiť ekvádorskú ambasádu v Londýne) a Sarah Harrison, ktorá podľa vyjadrenia moderátorov zachránila život Edwardovi Snowdenovi, keď musel narýchlo opustiť Hong Kong.

Diery v SIM kartách

Karsten Nohl predstavil nové útoky na SIM karty. V GSM mobilných telefónoch máme oveľa viac procesorov ako si väčšina z nás myslí. Medzi hlavné patrí tzv. baseband čip, ktorý sa stará o komunikáciu s mobilnou sieťou (a útoky naň boli predstavené v inej prednáške), aplikačný čip (to je ten na ktorom bežia aplikácie a operačný systém s ktorým interagujú užívatelia) a SIM karta – do tej je tiež možné nahrávať programy. SIM karta dokáže zistiť vašu polohu, zapnúť mikrofón, posielať dáta a SMS a pod. Karsten Nohl predstavil ďalší útok, pomocou ktorého je možné do SIM karty nahrať špionážny softvér, ktorý útočníkovi posiela informáciu, kde sa nachádzate.

Pod pojmom “predstavil” myslíme, že priamo počas prednášky nakazil novú SIM kartu tým, že vytvoril falošnú GSM sieť, ktorá poslala update softvéru do SIM karty. Takýto typ útoku nemá bežný užívateľ možnosť spozorovať. Útoku sa dá zabrániť vynútením šifrovania. Bezpečnosť sietí pre rôzne typy útokov na celom svete mapuje jeho projekt gsmmap.org. Pre Slovensko je tam zatiaľ relatívne málo dát. Nikoho neprekvapilo, že tento “nový” útok podľa nových dokumentov NSA používa minimálne od roku 2008. Avšak to len v prípade, keď nemá prístup k mobilnému operátorovi priamo, vďaka hackovaniu ich siete (napríklad jeden belgický GSM operátor by mohol rozprávať, aké je to mať v hlavných systémoch hackerov z NSA).

Satelit na záhrade

Travis Godspeed predstavil projekt satelitnej antény, ktorú si postavil na záhrade. Dokáže sledovať satelity na nízkej obežnej dráhe a nahrávať vysielanie. Na rozdiel od geostacionárnej obežnej dráhy sa takéto satelity po orbite pohybujú a tak je potrebné ich zamerať a sledovať ich — fyzickým otáčaním antény. Poslucháči mu najskôr závideli zjavný dostatok voľného času, neskôr skúsenosti a zážitky, ktoré nemá veľmi veľa ľudí na tejto planéte.

Bitcoin trezor

V roku 2013 Bitcoin – decentralizovaná alternatívna mena – dosiahol rozšírenie, zvýšenie svojho výmenného kurzu a všeobecnejšiu akceptáciu. Aj napriek tomu sa na tejto konferencii ocitla len jedna prednáška s témou Bitcoin, ktorú odprezentoval Pavol Rusnák, žijúci v Prahe. Predstavil svoj projekt Trezor, ktorý umožňuje bezpečné uloženie Bitcoin-ov, ktoré je odolné voči malware a iným technikám krádeže Bitcoin peňaženiek. Ak máte nejaké Bitcoiny, odporúčam pozrieť sa na tento projekt.

Ztohoven

Česká umelecká skupina Ztohoven (s mojou drobnou pomocou) predstavila svoje tri projekty – Mediální Realita (atómový hríb v živom vysielaní českej televízie), Občan K. (výmena identít) a Morální Reforma – divadelná hra pre parlament, vládu, prezidenta a novinárov.

Prostredie

Hackovanie neznamená len hranie sa s počítačmi alebo mikropájkou. V lounge sa predstavili kapely, ktoré majú blízko k hackerskej kultúre. Na najvyššom poschodí bolo niekoľko miest, kde ste si mohli pripraviť kávu na rôzne spôsoby — napríklad ju pomlieť na mlynčeku, ktorý bol urobený z bicykla. Mlynček bol poháňaný pedálmi. Ak ste náhodou chceli s niekým komunikovať, bolo možné použiť internú telefónnu sieť. Ak si však pod pojmom komunikácia radšej predstavujete fľašu so skrytým odkazom, bolo možné použiť potrubnú poštu, ktorá sa ťahala po celom kongresovom centre. Ako to asi vyzeralo si pozrite tu:


Záver

Chaos Communication Congress je už tradične miestom, kde sa stretávajú hackeri, umelci, kryptológovia, bezpečnostní experti a vývojári. Všetky prednášky sú streamované naživo a tak ich okrem priamych účastníkov videli stovky ľudí po celom svete. Ak vás niektoré prednášky zaujali a chceli by ste si ich pozrieť, záznamy nájdete na oficiálnej stránke konferencie. Tento ročník nesklamal a aj keď už existuje 30 rokov, všetci sa tešíme na okrúhle 32. výročie o dva roky…

O autorovi

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Podobné blogy

Citadelo Security Evening - jar 2018

blog | | Michaela Gallee
Bizarné úniky firemných dát alebo ako si uchovať svoju virtuálnu peňaženku alebo ako sa uchrániť pred fenoménom "Black Swan". To sú témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE), ktorý sa konal vo štvrtok 26.4.2018 u nás v Citadelo.
Zobraziť

Počítačová kriminalita – sme často obeťami hackerských útokov?

blog |
Už dávno neplatí, že v ohrození sú len medzinárodné spoločnosti alebo tí, čo disponujú hodnotným majetkom. Zločinci si pri útoku cez internet len málokedy vyberajú jednotlivcov - ich terčom sú masy.
Zobraziť

Bezpečnosť na internete - Viete sa správať v online priestore bezpečne?

blog |
Priemerný človek strávi na internete každý deň 3 hodiny a 20 minút. Okrem užitočných informácií a zábavy ale na nás čaká v online svete aj veľké množstvo hrozieb.
Zobraziť

Citadelo na novom a ešte bezpečnejšom webe

Blog | | Michaela Gallee
Naša požiadavka na bezpečný web sa môže niekomu zdať prehnaná, nie sme predsa svetová banka. To však nič nemení na tom, že našou víziou je bezpečný internet a preto naša priorita bola kladená na bezpečnosť.
Zobraziť