[Перевод] Конференция DEFCON 19. Anonymous и мы. Часть 1

Вы видите на экране фразу «Кто сражается с монстрами», а я — модератор этой презентации Пол Робертс, редактор threatpost.com, новостного портала, посвященного компьютерной безопасности. У нас большая группа выступающих, которых я представлю через пару секунд, а пока что расскажу про основные правила нашей дискуссии. У нас также имеются слайды, которые относятся к тому, что будет рассказывать каждый участник дискуссии.

pa5whdd9yepsedoczd0lr0rodew.jpeg

После выступления мы собираемся отвечать на вопросы, но у нас есть только час, так что попрошу вас относить записки с вопросами вон в ту дверь, там у нас будет комната вопросов и ответов Q&A, и потом ваши вопросы передадут выступающим.

Итак, я Пол Робертс, представляю вам историю хорошо известных Anonymous и Аарона Барра, сотрудника компании HBGary, который заявил, что выявил лидеров этой хакерской группировки, после чего Anonymous атаковали серверы компании. Наш портал threatpost.com, как и многие другие, освещал эту историю.

Я лично знаком с Аароном, он обратился ко мне после того, как я написал редакционную статью под названием «Выиграть войну, но потерять свою душу» (действующая ссылка на статью threatpost.com/rsa-2011-winning-war-losing-our-soul-022211/74958).

Эта статья была написана во время проведения ежегодной конференции по безопасности RSA в феврале этого года. Если помните, HBGary взломали буквально в последнюю минуту этой конференции, и вскоре Аарон обратился в нашу редакцию. Вы можете найти эту информацию в Google.

Вероятно, я был одним из немногих журналистов, которые выразили Аарону своё искреннее сочувствие по поводу того, что ему пришлось вытерпеть в результате нападения Anonymous, и как вы знаете, все мы ошиблись! У большинства из нас нет своего Стивена Кольбера, который бы высмеивал наши промахи, что, к сожалению, смог за него сделать Ааарон. Поэтому мы с Джошуа подумали, что выступление на Defcon — отличный шанс вернуться, как я надеялся, вместе с Аароном к этому делу и разобраться, что же тогда действительно произошло. К чести сказать, Аарон тоже очень хотел принять участие в нашей дискуссии, однако адвокаты HBGary положили конец этому плану. Они связались с Аароном и стали угрожать ему судебным иском, что если он согласится участвовать в сегодняшнем разговоре, они сообщат об этом его новым работодателям и вообще постараются испортить ему жизнь.

Аарон — парень, у которого жена, дети, ипотека, и мы знаем, как работают подобные угрозы, поэтому Аарон был вынужден отказаться от участия в нашем разговоре. Однако перед началом дискуссии я всё же хочу выразить ему свое расположение за то, что он, по крайней мере, имел мужество принять наше предложение, и если бы не натиск адвокатов, наверняка пришел бы сюда.
Итак, позвольте представить членов нашей группы. Крайний слева от меня — Джошуа Корман, он является директором Службы безопасности корпорации Akamai.

saf--b_8o5yw0yzylczasv6y7ui.jpeg

Если у вас имеются планы напасть на него, на всякий случай скажу, что он также возглавляет блок практической безопасности в региональной группе Defcon 451. Его группа существует более десяти лет, а сам Джошуа имеет огромный опыт в обеспечении сетевой безопасности и разработке программного обеспечения, будучи также главным стратегом систем интернет-безопасности IBM.
Справа от него сидит Джерико, он занимается хакерской безопасностью около 18 лет, из которых 12 составило формирование таких ценных навыков, как здоровый скептицизм и толерантность к выпивке. В этом году он проводил испытания того, как хакер может расправиться с безопасностью. Это отличная перспектива для создания негативных отзывов о работе любой системы безопасности, Джерико в этом деле большой специалист и сегодня мы об этом поговорим.

bsywg0x7kzxgx4ekfo89mgm21ly.jpeg

Он думает, что сама идея о каком-то прогрессивном мышлении является устаревшей, потому что человек обязан думать всё время. Никаких степеней, никаких сертификатов, он не желает говорить о себе и остается чемпионом добросовестного отношения к обеспечению безопасности. «Справедливый и сбалансированный» — таков девиз непонятного маленького существа, размещенного на главной странице его сайте attrition.org.

Справа от Джерико сидит Барон фон Ааарр. Он является профессионалом в области безопасности в течение 13 лет и сотрудничал с такими IT-компаниями, как IBM. Барон занимается системами реагирования на инциденты, компьютерной криминалистикой и аудитом систем безопасности ведущей аэрокосмической компании.

pp4jcxhvtwau1kb0begxiim8kz4.jpeg

Проводимые им экспертизы включают в себя этику пентестинга, социальную инженерию, аудит информационной безопасности, исследования систем с открытым исходным кодом и тому подобное.

На экране вы видите список участников нашей дискуссии и их аккаунты в Twitter. А сейчас я передаю слово Джерико.

zkfzxiehmn4jkhqkohujrkts3k8.jpeg

Джерико: пожалуйста, поднимите руки те, кто не считает себя придурком. Я вижу всего одну руку! Покиньте зал, нам тут не нужны обманщики! Теперь пусть подымут руки те, кто не получает выгоды от своей работы в области обеспечения безопасности. Отлично, кое-кто поднял руку. Наконец, пусть поднимут руки те, кто знаком с подоплёкой истории HBGary или хотя бы с половиной саги об Anonymous. Одна рука, вероятно, ещё один обманщик! Итак, никто из вас не собирается признаться, что работает в HBGary?

mwmxiuxhcypj8sasiqvtciiipnk.jpeg

Пол Робертс: или HBGary Federal, это разные компании!
Джерико: да, я знаю, что это разные компании.
Голос из зала: у меня есть электронный адрес этой компании!
Джерико: они вам платят?
Голос из зала: нет, не платят!
Пол Робертс: наверное, этот адрес электронной почты был создан как раз в феврале!

Джерико: хорошо, это сужает круг поиска, в нашей группе уже есть один член Anonymous. Итак, задумайтесь над моими вопросами, потому что если вы честно подняли руку, отвечая хотя бы на один из них, то можете смело выметаться из этой аудитории. Потому что задача нашей группы — объективно рассмотреть позицию обеих сторон и выдвинутые против Аарона обвинения, так как в этом деле было слишком много критицизма, но при этом мы забывали посмотреть на самих себя и признаться, что сами находимся на полпути до превращения в монстров.

Джошуа Корман: на этом слайде вы видите информацию для тех, кто не знает нашей философии — тот, кто не борется с монстрами, не обязательно становится одним из них. В этом смысле я наблюдаю когнитивный диссонанс в поведении тех, кто хочет присоединиться к группе NonOps и парнями, защищающими Fortune 50, которые хотят с ними бороться. Я думаю, бесполезно говорить обо всех этих белых, серых и черных шляпах, расчищая подземелья Dungeons & Dragons.

7iumleu6mjnjlbexuadnpbpaidi.jpeg

Это не просто борьба добра и зла. Я имею в виду, что некоторые люди представляют Аарона неким Робин Гудом, доброй «арабской весной», которая освободила угнетённых. Другие видят в нем злого Джокера, который мечтает сжечь весь мир. Знаете, когда мы пытались выяснить истину, наш разговор не двигался вперёд, принимая хаотичный характер, потому что мы хотели дать происшедшему объективную оценку, не навешивая ярлыки добра и зла. Больше всего нас смущала романтизация положительных аспектов его поступка, но при этом мы не вполне осознавали, какие роли хотели бы играть сами. Я думаю, смысл статьи Пола состоит в том, что сражаясь с монстрами так, как это делал Аарон, мы утрачиваем частичку собственной души. Аарон — живое воплощение того, как можно нарушить свою личную этику, совершая подобные действия. Вследствие этого мы не контролируем ситуацию, а скорее, становимся жертвой спровоцированных нами обстоятельств. Поэтому, пытаясь разобраться в этом конфликте, задумайтесь, как бы вы повели себя, оказавшись на месте той или другой стороны. Примерьте на себя роли обеих сторон конфликта, потому что в погоне за совершенствованием безопасности мы можем добраться до чего-то даже более плохого, нежели Патриотический Акт 2001 года.

Мы можем вынудить влиятельных, но не информированных людей совершать мощные, но непродуманные шаги.

Джерико: причём довольно быстро, и Аарон, вероятно, этого не учёл. Вы видите эти клеточки со шляпами, и если ни одна из этих шляп вам не подходит, постарайтесь подобрать для себя что-либо из остальных шести клеточек. Барон, что ты об этом думаешь?

Барон фон Ааарр: я нахожусь в середине всего этого, потому что с одной стороны имеется правительство, спецслужбы и прочие организации, занимающиеся подобной деятельностью, в особенности компания Аарона, а с другой стороны люди, которые стали раскрывать то, как власти дезинформируют народ, собирают персональную информацию и тому подобное. Аарон просто пересек черту, рассказав об этом своей компании или юридической фирме, которая готова преследовать людей так, как это не позволяет себе даже ЦРУ.

aschvlgzpmck_khuufslhf06-u0.jpeg

Один из Anonymous тоже пересек эту черту, примерив на себя Черную шляпу, но как сказал Джерико, все мы — Серые шляпы. Один человек — террорист, другой человек — борец за свободу, и вы должны знать, какое место вы занимаете сами, чтобы не оказаться зажатыми в тиски.
Пол Робертс: спасибо, это были хорошие мысли. Я думаю, сначала нужно задать вопрос, кто вообще такие эти Anonymous и откуда они взялись.

Джошуа Корман: приму удар на себя и выскажу мнение, что несколько человек из этой группы присутствуют в этом зале, и возможно, даже на этой сцене. Это не просто группа, и мы все об этом знаем, это как бренд модной одежды, как франшиза. Я имею в виду некоторых людей, которые решили так называться, потому что делают что-то вроде «арабской весны» на локальном уровне, нечто, похожее на анонимный проект PostSecret. Это способ делать что-то, не опасаясь быть пойманным, может быть, как разоблачитель, и такие люди могут сформировать очень ценную часть нашей культуры. Я думаю, что это своего рода хайджекинг идеи со стороны небольших групп, и теперь оно может либо выступать на пользу обществу, либо создавать ему угрозу в зависимости от того, кто ты. Лично меня сильно разочарует, если вы на самом деле думаете, что можно улучшить безопасность, демонстрируя её провалы.

ysruqgaazrlgaxw1rwlazeapmbq.jpeg

То, что Fortune 50 сделали с Cisco, никоим образом не сделало безопасность лучше и не увеличило её.

Джерико: подождите, вы что, хотите сказать, что освещение провалов и уязвимостей не способствует улучшению безопасности?

Джошуа Корман: нет-нет, давайте посмотрим на это с другой точки зрения. Я имею в виду, что любое вмешательство будет иметь эффект, другое дело, что часто это не тот эффект, которого мы хотим достичь. Я не хочу, чтобы эти процессы создавали хаос, но я не хочу устранять тех, кто это делает, просто давайте как-то организуем нашу игру. Почему бы не направить активность LulzSec, например, на сайты, занимающиеся эксплуатацией детей, или почему людям не заняться тем, чтобы обнаруживать джихадисткие сайты. У нас есть возможность вызывать не просто хаос, а вызывать целенаправленный хаос, если так можно выразиться.

Но если в действительности мы чувствуем себя бессильными перед тем, что PCI-хайджекинг захватил нашу индустрию, если в действительности мы не знаем, как ответственно выполнять свою работу, потому что руководство не желает нас слушать, то могли бы быть более конструктивные способы донести это до других.

Барон фон Ааарр: я думаю, что они придумали это после того, как сначала сказали, что просто хотели взломать эти вещи, чтобы придать некую законность своим действиям. Они хотели поймать кого-то, что бы потом подать на него в суд, говоря при этом: «мы это сделали, потому что мы в это верили». Я не верю, что всё дело в этом. Я думаю, что подобная практика распространена вплоть до высшего государственного уровня, поэтому мы имеем действующих лиц во множестве стран, которые атакуют различные вещи, и они могут выполнять роль красных кровяных телец, которые работают в рамках других правительственных разведывательных групп, потому что они — Anonymous!

Джерико: я не согласен с этим определением. Я имею в виду, что мы, работающие в этой отрасли достаточно долго, по 40 — 80 часов в неделю, бьёмся головой о стену, потому что нас не слушают. Сколько из нас прошло через то, что результат нашей работы может вызвать физические изменения в обнаруженной проблеме только через, скажем, 15 лет? При этом каждые полгода мы возвращаемся, перепроверяем результаты нашего пентестинга и видим, что совершенно ничего не было исправлено! Они не исправили удалённые сервисы, не почистили ПО, они не сделали ничего из того, что мы им рекомендовали сделать. Так может быть, теперь пришел черед Anonymous или LulzSec взяться за эти компании, «нагнуть» их тем самым пробудить от спячки? (смех в аудитории).

Барон фон Ааарр: я согласен с тем, что Anonymous могли бы выступать в качестве бизнес-модели. Я бы согласился, что в этом есть необходимость, но думаю, что даже после этого боссы компаний просто вернутся к своему сомнамбулизму, к играм со своими iPad и прочим новым игрушкам, продолжая игнорировать политику безопасности, думая: «это меня не касается, потому что я принадлежу к уровню «С». Так что независимо от того, как сильно они испугаются, они всё равно вернутся к старым негодным шаблоном поведения, и ничего не поменяется.

yobx5qrbtkwi-e_kg-tiqvkfekk.jpeg

Джошуа Корман: я абсолютно не считаю, что хакерские атаки могут служить возможностью как-то изменить существующее положение в пользу укрепления безопасности. Я видел реакцию жертв нападений LulzSec и уверяю, что это не заставило их поумнеть. Это моя точка зрения, но я думаю, что здесь есть возможность инициировать другой разговор, чтобы двигать дело вперёд. Вместо того, чтобы просто застыть в ожидании на 15 лет, пока наша работа не возымеет эффект. Я просто не вижу, чтобы подобные послания достигали своих целей. Посмотрите на компанию Sony. Её руководство считает, что землетрясение принесло им гораздо большей разрушений и финансового ущерба, нежели хакерские атаки — если не ошибаюсь, на сайте Джерико зафиксировано 23 случая нападения на Sony.

Давайте просто подумаем о временных изменениях — мы перешли от немотивированного и невежественного хаотичного поведения действующих лиц к их осознанным и мотивированным поступкам, но при этом фактически просто перешли от бездействия одного рода к бездействию другого рода. В действительности мне очень жаль Sony. Да, мы показали уязвимость в её системах безопасности, однако нельзя сравнивать потери от землетрясения с потерями от атак, и я боюсь, что могущественные, но неосведомлённые руководители посчитают потери последнего рода вполне приемлемыми. Я не говорю «не делай этого», я просто думаю, что существует множество аспектов, позволяющих направить эти события в правильное русло, потому что если это послужит очередным поводом игнорировать всю нашу отрасль, значит, мы облажались.
Джерико: ты говоришь, что компании ничему не учатся, но в качестве примера скажу, что после того, как LulzSec «взломали» Sony не слишком изощренными способами, они сразу после этого уволили всех сотрудников службы интернет-безопасности. Так что они хорошо учатся, но может быть, что кто-то в их собственно службе безопасности был Черной Шляпой. Если у них был весь этот штат безопасности, которому было всё равно, возможно, что этот человек решил спровоцировать такую ситуацию, чтобы они поняли, чего им будет стоить пренебрежение рекомендациями по обеспечению безопасности?

Джошуа Корман: возможно, имеет смысл привлечь таких людей как я, например, в прессу, чтобы контролировать положение вещей в этой области? Потому что то, что Anonymous и LulzSec смогли сделать с Sony, является хорошим уроком. Я стараюсь не сосредотачиваться на том, как именно они это проделали, никого не волнует, что для этого существует миллион способов.

shp2rguzdrrvqr4fa-oz7i5-fao.jpeg

Если вы игнорируете пентестера, который обнаружил уязвимость вашей платформы, то должны быть готовы к тому, что вас «поимеют». Я считаю, что если вы не пытаетесь понять, что стоит за происходящим, то эти действия будут иметь для вас ещё более негативные последствия, поэтому просто надеюсь, что такие нападения смогут чему-то научить компании.

Пол Робертс: думаю, вы знаете, что у хактивизма долгая история, достаточно взглянуть на группу Electronic Disturbance Theater, основанную в 1997 году, целый легион подпольных групп, называющих себя федерацией Cult of Dead Cow, «Культа дохлой коровы» и так далее. Вы знаете, что множество хактивистских инцидентов, и это подтверждается документально, были спровоцированы политическими причинами, такими, как борьба за права человека. Я думаю, что Джошуа имел это в виду, когда говорил о создании лучшего «Анонимуса». Я просто хочу, чтобы мы попытались найти некое связующее звено, общие черты между операциями хактивистов в Тунисе и Египте, атаками на Sony, ответным нападением Anonymous на HBGary и деятельностью пентестеров, чтобы мы попытались разобраться, что связывает нас вместе и что мы можем с этим сделать.

Барон фон Ааарр: я бы хотел вернуться немного назад. Не случайно, что страховка от хакерства дорожает. Множество компаний, в частности, я слышал об этом вчера, но не стану упоминать названий, уволили кучу людей из службы безопасности и купили страховку от хакерства.
Джерико: я заплачу тебе $100 прямо сейчас, если ты их назовешь!

Барон фон Ааарр: нет уж, спасибо!

Пол Робертс: кто из присутствующих в этой аудитории имеет страховку от взлома? Барон фон Ааарр: давайте вернёмся к вашему вопросу, я уже забыл, как он звучал?

pevmvoksyo5wcssnv1baxhxz9sm.jpeg

Пол Робертс: он касался того, что исторически хактивизм имел под собой идеологическую мотивировку, касалось ли это оппозиции Китаю и поддержки Мьянмы или выступлений против Республиканской партии, благослови её Господь. Но если посмотреть на Anonymous или LulzSec, то довольно трудно понять, что же они пытаются донести обществу своей деятельностью. Операции хактивистов в Тунисе и Египте выглядели однозначными, и было понятно, что они пытались доказать, но в случаях с Sony и HBGary мне было не понятно, чего они добивались.
Барон фон Ааарр: я бы сказал, что в генезисе у Anonymous была борьба с саентологией. У них были люди, вовлеченные в сайентологию, у них были друзья, были семьи, которые поддерживали это течение, и началом деятельности Anonymous было создание сайтов, критикующих Церковь сайентологов. Они вступили в борьбу с гигантом, у которого было много денег и много адвокатов. Они постарались организовать настоящую «арабскую весну», они старались сделать что-то хорошее и противостоять посягательствам на интернет. Но когда движение «Анонимус» начало ветвиться на AntiSec, LulzSec и всё то, что возникло прямо перед HBGary, стало понятно, что это нечто совершенно другое. И я уверен, что их мотивацией начать атаку стало то, что Аарон рассказал о них публично в новостях, чем разрушил их анонимность, и именно за это они его наказали. Его вина состоит в том, что правда о том, что они делали, стала выходить наружу. Но после этого LulzSec стали выглядеть утратившими конкретную цель — теперь они просто нападают на полицию Феникса, штат Аризона, потому что им не нравится местное иммиграционное законодательство.

Мне оно тоже не нравятся, но сотрудники правоохранительных органов, которые обязаны по долгу службы блюсти законы, принятые законодательным органом, и которые не имеют никаких рычагов влияния на законы, кроме собственного голоса избирателя, не заслуживают, чтобы их подвергали опасности. Говорят, что недавно был опубликован список CIS, я его ещё не видел, но находящиеся в нем люди также могут подвергнуться опасности, потому что их имена известны как CIS.
Джошуа Корман: я знаю, что в этой аудитории присутствует множество практиков, желающих изменить положение вещей в свою пользу. Мы ежедневно тяжело трудимся ради того, чтобы убедиться, что можем выполнить свою миссию, но когда происходят подобные показательные, шумные, хорошо всем видные атаки, внимание общества переключается именно на них

jydb2owijpduxjbo4l_ozndkqhu.jpeg

Мне не наплевать на то, что они украли кучу номеров кредитных карт, но я знаю, что у этого факта очень мало отрицательных последствий по сравнению с последствиями от кражи интеллектуальной собственности, которую никак нельзя восполнить. На самом деле это отвлекает нас от нашей основной миссии, так же как PCI отвлекает нас от основной миссии, потому что наши руководители отвлекаются от управления рисками на заботу о защите стандарта платежных карт. И последствием факторов, отвлекающих от управления рисками, стали шумные DDoS атаки, ставящие под угрозу целые организации и приводящие к увольнениям, утрате этих незаменимых активов.

Так что теперь мы имеем новую шумную вещь, которая отвлекает нас от истинной миссии. Мы все знаем о группах, раскрывающих случаи эксплуатации детей. Никому из нас не нравится эксплуатация детей, и мы знаем, что существуют плохие люди, делающие плохие вещи, такова специфика интернета. Однако с ними можно бороться менее вызывающим образом.
Пусть поднимут руки те, кому не нравится тактика манипуляции покупательским спросом FUD в нашей индустрии. Ведь наверняка кто-то сталкивался с поставщиком продукции, которая была полным дерьмом.

Как известно, существует три составляющих FUD — Fear, Uncertainty, Doubt, страх, неуверенность и сомнение, способные вызвать такой же эффект, который вызывает трехзвенная DDoS- атака или DDoS кампания, так что мы получим возможность удерживать продавцов от распространения всякого дерьма, распространяя среди них страх, неуверенность и сомнение.
Джерико: короче говоря, Anonymous должны разработать меню, например, двухдневной DDoS атаки на недобросовестных продавцов.

24:55 мин

Конференция DEFCON 19. Anonymous и мы. Часть2

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5–2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

VPS (KVM) E5–2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до весны бесплатно при оплате на срок от полугода, заказать можно тут.

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5–2650v4 128GB DDR4 6×480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5–2650 v4 стоимостью 9000 евро за копейки?

© Habrahabr.ru