Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Jeff Moss interjú

2009.10.22. 08:13 | buherator | 3 komment

 A CNet két részes interjút készített Jeff Moss-szal, vagy ismertebb nevén Dark Tangent-tel, aki egyebekn mellett a Defcon és BlackHat konferenciák egyik alapítója, másrészt ma már az USA Honvédelmi Bizottságának tagjaként segít megvédeni az ország informatikai infrastruktúráját. Az alábbiakban az interjú második felét olvashatjátok.

Mikor is kezdtél bele az első Defconba?

'92-'93 környékén. Azt hiszem '92-ben kezdtem el tervezgetni azt, ami '93-ban megvalósult.

Akkoriban minden más volt. Beszélnél arról, hogy hogyan változtak a kilátások, és hogy mik a valódi veszélyforrások manapság?

Azt mondanám, hogy a legnagyobb változás a pénz volt, és ahogy a pénz megjelent, mindent megváltoztatott. De ez valójában nem igaz. A technológia is felnőtt. Tehát két dologról van szó: a pénzről és a technológiáról. A technológia is éretté vált, és egy csomó az eredeti motivációk közül megváltozott valamilyen módon, legalábbis az én generációm számára. Amikor az internetelérés gyakorlatilag ingyenes, amikor a Unix ingyenes, amikor a telefonhívások gyakorlatilag ingyenesek - dollárok helyett penny-ket fizetsz percenként -miért akarnál hívásokat lopni, mikor mindez amúgy is ingyen van? Miért akarnál betörni egy egyetemre, hogy man oldalakat olvasgass Unix-on, mikor online találsz ingyenesen letölthető biztonsági útmutatókat is?

Régebben keményen meg kellett dolgoznod, hogy rájöjj valamire, és mikor megtanultad, úgy érezhetted, hogy amit tudsz, az csak a tiéd. Azzal tetted magadévá, hogy felfedezted, kitaláltad, majd megosztottad a barátaiddal. Ma már mindezt megkapod egy Google találati listából, szóval a motivációk egészen megváltoztak. Ma már nem kérdés, hogy hogyan jövök rá az SS7 telefonkapcsoló rendszerek működésére. Letölthetsz 50 dokumentumot, amik leírják, hogy hogyan működik. Ma már az a kérdés, hogy mit is kezdesz az ingyenes információval? Hogyan használod fel? Azelőtt az információ megszerzéséért kellett küzdeni, és ha megszerezted az infromációt, már győztél.

Akkor láthattad a hatást, amikor az emberek elkezdtek pénzt csinálni a Neten...a dot-com boom idején. Mindenkinek szüksége volt olyanokra, akik értenek az Internethez. És abban az időben ezek a hackerek és a korai úttörők voltak. Így hát az összes úttörő fizetést kaphatott a hobbijáért. És ez megváltoztatta a dolog természetét. Munkává vált a szórakozás. Amikor a bűnözők végül megneszelték, hogy az Internetben valódi pénz van, kicsi kockázattal és nagy várható nyereséggel... amikor nemzetállamok és szervezett bűnözői csoportok is bekerültek a képbe, nos, az volt az ártatlanság korának a vége.  Mindez nagyon gyorsan lezajlott, nagyjából tíz év alatt. Az, hogy meg tudod védeni magad néhány unatkozó egyetemistától és a haverjaitól, meg hogy a logjaid elemzésével kézben tarthatod a dolgokat és kiszúrhatod ha valaki a hálózatod közelében matat, ez ma már a múlt. 

Ma már annyi a zaj, olyan sok a letapogatás és annyi más erőforrást tudnak szembe állítani veled... (nevet) Azt szoktam mondani, hogy a nagy kormányoknak, a hadseregnek, egy EDS-nek vagy egy Microsoftnak megvannak a tudása és a büdzséje arra hogy megvédjék magukat ha kell.  De a KKV-k, a kis- és középvállalkozások nem képesek erre, nem engedhetik meg maguknak, és nincs is elég tapasztalatuk, szóval ezek a szerencsétlen cégek hátrányban vannak a mai világban. A technológia még nem érett meg annyira, hogy csak bedugod és működik. Még mindig szükséged van a magas szintű szakértelemre ahhoz, hogy biztonságban legyél. Szóval még nem tartunk ott, hogy ha veszel egy autót, már benne van a légzsák. Még nem. A mérce minden évben emelkedik, és mindig egy kicsivel nehezebb betörni. De ez csak annyit jelent, hogy a jobbmódú szervezettbűnözői csoportok és kormányok marahatnak talpon a legtovább. Ha a támadások kellően kifinomulttá és körmönfonttá válnak, az átlagos képességű biztonsági embered nem feltétlenül lesz felvértezve a megfelelő számítástehnikai ismeretekkel, hogy védekezni tudjon. 

 Ez tekinthető a menedzselt biztonsági szolgáltatások melletti érvnek?

Hmm. A Counterpane-hez hasonló megoldásokra gondolsz, központi logmenedzsmenttel, ahol ők elemeznek mindent?

Igen.

Ez ahhoz, hasonló, mikor a tojásaidat kevesebb kosárba pakolod, és szakértőket bízol meg, hogy vizsgálják a naplóidat. A Honvédelmi Minisztérium [Department of Homeland Security] ezt akarja megvalósítani az Einstein-nel. Úgy tűnik, hogy létezik ésszerű válasz a problémára. Ezt át kell gondolnom. A probléma az, hogy mire észrevesznek valamit már megtörtént-e a károkozás, hozzáfértek-e titkos információkhoz, vagy csak a honlapot deface-elték. Ha megvizsgálod a problémák természetét láthatod,  hogy a szervezett bűnözői csoportok általában a pénzre hajtanak, a kormányok pedig a titkokra, és mivel a céljaik különbözőek, különbözőképpen állnak hozzá a dolgaikhoz is. Lehet hogy ezek a központosított szolgáltatások jobban működnek az egyik csoporttal szemben, mint a másikkal.  

Mikor kezdtél hackeléssel és számítógépes biztonsággal foglalkozni? Miért fogott meg a téma?

Ez mondhatjuk, hogy véletlen volt. Apám doktor volt a San Franciscoi Egyetemen, és az egyetem valamilyen kedvezményt biztosított ha vettél egy IBM-et, valamilyen oktatási kedvezmény formájában... Szóval vettek egy elég drága számítógépet, amivel én és a nővérem játszhattunk.

Hány éves voltál?

12 vagy 13

Hány éves vagy most?

Harminckilenc. A nővéremet nem nagyon érdekelte a dolog. Ő végül zenével kezdett foglalkozni és a gép lényegében az én gépem lett. Szoftverkalózként kezdtem. 13 éves vagy, és a haverod kap egy PC-s játékot születésnapjára, neked is van egy játékod, és abban az időben nem volt túl sok játék PC-re. Egyszerűen lemásolhattad a játékot, vagy ha volt valamiféle másolásvédelem, vehettél egy "Copy to PC"-t és azzal másolhattátok le egymás játékait. Az ember megpróbálja kitalálni hogyan működik. Nem volt túl sok könyv a programozásról akkoriban, szóval elkezdtem BASIC-et és assemblyt tanulni. 

Aztán hogy bővíteni tudja a gépet, az embernek meg kell tanulnia szétszedni, mivel sokkal olcsóbb volt venni egy memóriát és magadnak telepíteni, mint egy memóriakártyát vásárolni. Gyerekként nem volt pénzem. De voltak overclocking készletek, amiket már 50-60$-ért megkaptál. Fel tudtad húzni a PC-d órajelét, hogy 30-40%-kal gyorsabban menjen. Mondjuk 6.55 MHz helyett 8 MHz-en hasíthattál, és ez remek érzés volt. Aztán elkezdesz gondolkozni, hogy hogyan is működik mindez, mi folyik odabennt?

Aztán forradalmi változást jelentett számomra, mikor kaptam egy modemet. Egyszer kaptam egy akkusztikus modemet, egy 300 baudosat, és ez volt a vég kezdete, mivel hirtelen elkezdtem kommunikálni (másokkal online). Eleinte a barátaimmal kezdődött, akiknek már voltak modemei amiket náluk használhattam, aztán spóroltam és szereztem egy sajátot. És ott voltál ezeken a BBS rendszereken, ahol Bay Area-i emberekkel beszélhettél. Nem tudták hány éves vagy, milyen nemű, milyen végzettségű vagy ilyesmi és felnőttekkel beszélhettél felnőtt témákról, drogokról, technológiáról, zenéről vagy bármi másról. Olyan dolgokról, amikről a szüleiddel nem beszélhettél. Meghallgathattad, hogy mások miről beszélgetnek. Ez egy hatalmas pillantás volt a nagyvilágra odaát.  És ez tényleg felnyitotta a szemem. Ez más volt, mint amiről a suliban beszéltünk. Más volt, mint amiről a barátaiddal, vagy amiről a szüleiddel beszéltél. Ez egy teljesen más világ volt, ami arra késztetett, hogy még több BBS-t és még több embert találj. Ez vezetett aztán a phreakinghez, hogy megpróbáljam kitalálni, hogyan működnek a telefonrendszerek, és hogy hogyan lehet minél messzebbre minél olcsóbban telefonálni. Ez egy felfedező út volt.

És eléggé vaktában csináltam. Ismertema  telefonrendszereket, mivel BBS-t üzemeltettem, és rengeteg időt töltöttem távolsági hívásokkal, hogy bejussak különböző más bulletin boardokra. Ismertem a szoftverprogramozást, de fogalmam sem volt a hackelésről egészen addig, amíg össze nem futottam valakivel. Neki pedig éppen ellentétes tapasztalata volt:  Semmit nem tudott a telefonokról, és semmit sem tudott a másolásvédelmekről vagy emiatt a reverse engineeringről, de mindent tudott a a hackelésről. Mindent tudott a hálózatokról, amikről nekem fogalmam sem volt, mivel nem volt kiépítve otthoni hálózatom. Minden pont-pont kapcsolatban, betárcsázással működött. Ezt nem lehetett hálózatnak nevezni. Szóval az ő segítségével kezdtem a hackelésről tanulni.

A dolgok csak úgy véletlenszerűen történtek meg velem az életben. Szerencsém volt. Szerencsém volt, hogy a szüleim megvették azt a számítógépet, szerencsém volt, hogy megismerhettem a modemeket, szerencsém volt, hogy belefutottam ebbe az illetőbe, aki hackelni tanított. Jó lenne azt mondani, hogy ez valami mesteri terv eredménye volt, de valójában csak a körülmények szerencsés együttállásáról volt szó.

Erről Malcolm Gladwell Outliers című könyve jut eszembe amit pont most olvasok. Nagyon fontos amiről beszélsz, hogy nem csak intelligencia, hanem lehetőségek kérdése is, hogy az ember elérjen valamit.

Ez az a könyv amiben arról 10.000 óráról van szó (ennyi ideig kell gyakorolnod valamit, hogy utána sikereket érj el vele)?

Igen.

Valaki mesélt már róla, és teljes mértékben el tudom hinni. Ha belegondolok, ezer meg ezer meg ezer órát töltöttem azzal, hogy másokkal beszélgettem, olvastam, programoztam, számítógépeken bütyköltem, telefonokat próbálgattam és rontottam el meg ilyenek, mire mindez természetessé vált. Ha belegondolsz, azok az emberek, akik igazán jól játszanak valamilyen hangszeren, több tízezer órát gyakorolnak.  Vagy akik autókkal dolgoznak. Van egy barátom, aki egy fantasztikus autós srác, és csavarkulccsal a kezében nőtt fel. Ösztönösen megérti, hogy hogyan működnek a mechanikai dolgok... Ezek az emberek máshogy látják a világot, és kifejlesztettek egy hatodik érzéket erre.

Neked van hatodik érzéked a hackeléshez?

Hát, hatodik érzéked kell hogy legyen a problémák meglátásához. Valaki bejelent egy integrációs projektet, magadban pedig arra gondolsz, hogy "Ó, ez egy problémás rész lesz. Hogyan fogják megoldani?". [???]

Néha az jár a fejemben, hogy nem vetettük-e bele túlzottan korán magunkat az Internet technológiába? Ha kritikus rendszerekhez nyúlsz hozzá, egészen más mentalitást kell követned. Más képzettségekre van szükséged. Nem tudom. Például a SCADA rendszereket kezdik webes interfészekre kötni , ami rendkívül egyszerűvé teszi a központi menedzsmentet és a folyamatok vizualizálását, megértését. Ezt hallják a menedzserek is, és úgy gondolkoznak, hogy ez kevesebb költséget, nagyobb átláthatóságot, és könnyeb vezetést jelent. Ha én hallok ilyenről, az jut eszembe, hogy "Hoppá, ebből még probléma lesz". Te összekötöd ezeket a hálózatokat webes protokollokon, melyek alapvetően nem biztonságosak, és nagyon nehezen tehetők azzá, aztán meghallgatod Moixe Marlinspike-ot az SSL-lel kapcsolatos problémákról, és azt gondolod, hogy "Ez egy probléma". Erre egy hatodik érzék kell.

Sok témát érintettünk. Van még valami amiről beszélnünk kellene a számítógépes- illetve kiberbiztonsággal, vagy a háttereddel kapcsolatban?

Van egy aktuális mániám, amivel mostanában foglalkozom. Ez az alacsonyan lógó gyümölcs esete. Hat hónapja volt egy Google-höz szóló nyílt levél, amit én is aláírtam, és amiben arra kértük a céget, hogy tegyen át mindent alapértelmezetten HTTPS-re. Ez egyike volt azoknak a javaslatokank, melyeknek valóban lenne értelme. Miért nem érezhető nyomás arra vonatkozóan, hogy legyen minden alapértelmezetten HTTPS? Minden böngésző támogatja. A számítógépek már elég gyorsak. Az otthoni PC-knek meg sem kottyan az a kis titkosítás. Miért nem szabadulunk meg a HTTP-től és állunk át HTTPS-re? Ez egy könnyen elérhető gyümölcs, egyszerű kivitelezni. Ha erre sem vagy képes, miből gondolod, hogy komolyabb feladatokkal megbírkózol?

És ha megnézed mire támaszkodunk, ott van a Web, ami nem biztonságos. Támaszkodunk a DNS-re, ami szintén nem biztonságos, és támaszkodunk az e-mailre, ami megint nem biztonságos. A három alapvető dolog, amire az idők kezdete óta támaszkodunk nem biztonságos, és semmi nem utal arra, hogy ezen változtatni akarnánk. Ezek a nagy cégek, akik rákényszerítenek, hogy online elérhetővé tegyük az életünket, a YouTube-ok, a Yahoo-k nem teszik meg a magukát a csatornák biztosításáért. 

Az egész iráni választások alatti felkelés vagy forradalom alatt az idegesített fel a legjobban, hogy ott voltak ezek az emberek, akik kiöntötték a szívüket  a ploitikai meggyőződésükkel együtt a különböző közösségi oldalakon, titkosítatlan HTTP csatornákon keresztül. A kormány meg ott ül és csak szépen gyűjtögeti, rögzíti ezeket. És előbb vagy utóbb visszajönnek, hogy bekopogjanak ezeknek az embereknek az ajtaján. Már jócskán túlléptünk azon, hogy édi kiscicákról osztunk meg képeket a közösségi oldalakon, ezeken a helyeken most már politikai és társadalmi érdekérvényesítő mozgalmak szerveződnek.

Ezek olyan dolgok, amelyeket gondatlanság nem biztonságos csatornákon intézni. Mert ha pl. egy iráni disszidáns SSL-en kapcsolódott volna a közösségi oldalakra akkor látható lett volna az IP címe, és az, hogy néhány százezer bájtot átvitt, de ha nem ismerik a felhazsnálónevét, nem tudják meg, hogy kik a barátai és nem tudják meg, hogy miket posztolt. Ez pedig jó dolognak tűnik, ha az állampolgáraid jólétéért aggódsz. Egy csomó probléma megoldódna, ha lapértelmezett lenne az SSL. EGy csomó magánszférával kapcsolatos aggodalom elillanna. Minden alkalommal, amikor egy nagyobb közösségi oldal illetékesével beszélek panaszkodva rákérdezek, hogy "Miért nem csináltátok meg ezt eddig? Miért foglalkoztok a belépésem védelmével, mikor a munkamenetem maradékát védtelenül hagyjátok?". Ez nagyon frusztráló.

Címkék: interjú jeff moss dark tangent

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kutyacica 2009.10.22. 15:39:08

koszi a cikket, elvezetes volt.
A Gladwell regeny cime Outliers, nem Outliners.

matx 2009.10.23. 02:02:36

es megint csak thumbs up!