Вы видите на экране фразу «Кто борется с монстрами», а я — модератор этой презентации Пол Робертс, редактор Threatpost.com — новостного портала, посвящённого компьютерной безопасности.
У нас большая группа спикеров, которых я представлю через пару секунд, а пока расскажу об основных правилах нашей дискуссии.
У нас также есть слайды, посвященные тому, что будет освещать каждый участник дискуссии.
После выступления мы будем отвечать на вопросы, но у нас есть только час, поэтому я попрошу вас отнести свои записи с вопросами к той двери, там у нас будет комната для вопросов и ответов, а потом Ваши вопросы будут переданы спикерам.
Итак, я Пол Робертс, представляю вам историю небезызвестного Anonymous и Аарона Барра, сотрудника компании HBGary, который заявил, что определил лидеров этой хакерской группы, после чего Anonymous атаковали серверы компании.
Наш портал Threatpost.com, как и многие другие, освещал эту историю.
Я знаю Аарона лично, он связался со мной после того, как я написал редакционную статью под названием «Выиграй войну, но потеряй душу» (активная ссылка на статью Threatpost.com/rsa-2011-winning-war-losing-our-soul-022211/74958 ).
Эта статья была написана во время ежегодной конференции по безопасности RSA в феврале этого года.
Если вы помните, HBGary был взломан буквально в последнюю минуту этой конференции, и вскоре Аарон связался с нашей редакцией.
Эту информацию вы можете найти в Google. Я, наверное, был одним из немногих журналистов, кто выразил Аарону искреннее сочувствие за то, что ему пришлось пережить в результате атаки Anonymous, и как вы знаете, мы все были неправы! У большинства из нас нет своего Стивена Кольбера, который мог бы посмеяться над нашими ошибками, что, к сожалению, смог сделать за него Аарон.
Итак, Джошуа и я подумали, что выступление на Defcon будет отличным шансом вернуться к этому делу с Аароном и выяснить, что произошло на самом деле.
К нашей чести, Аарон тоже очень хотел принять участие в нашей дискуссии, но юристы HBGary поставили крест на этом плане.
Они связались с Аароном и пригрозили ему судебным иском, что, если он согласится участвовать в сегодняшнем разговоре, они сообщат его новым работодателям и вообще попытаются испортить ему жизнь.
Аарон — парень, у которого есть жена, дети, ипотека, и мы знаем, как действуют подобные угрозы, поэтому Аарону пришлось отказаться от нашего разговора.
Однако, прежде чем начнется обсуждение, я все же хочу выразить ему свою привязанность за то, что у него хотя бы хватило смелости принять наше предложение, и если бы не натиск юристов, он бы, наверное, пришел сюда.
Итак, позвольте представить участников нашей группы.
Крайний слева от меня — Джошуа Корман, директор службы безопасности корпорации Akamai.
Если у вас есть планы атаковать его, на всякий случай он также является руководителем подразделения практической безопасности в региональной группе Defcon 451. Его группа существует уже более десяти лет, а сам Джошуа имеет большой опыт в сетевой безопасности и разработку программного обеспечения, а также является главным стратегом систем интернет-безопасности IBM.
Справа от него сидит Джерико, который занимается взломом безопасности около 18 лет, 12 из которых развивает ценные навыки, такие как здоровый скептицизм и толерантность к выпивке.
В этом году он проверял, как хакер может обойти систему безопасности.
Это отличная перспектива для создания негативных отзывов о работе любой системы безопасности.
Иерихон – большой специалист в этом вопросе и сегодня мы поговорим об этом.
Он считает, что сама идея всякого прогрессивного мышления устарела, потому что человек обязан думать все время.
Никаких степеней, никаких сертификатов, он не хочет говорить о себе и остается поборником честности в сфере безопасности.
«Справедливый и уравновешенный» — девиз этого малоизвестного маленького существа, размещенный на главной странице его сайта attrition.org. Справа от Иерихона сидит барон фон Ааарр.
Он был специалистом по безопасности в течение 13 лет и работал с ИТ-компаниями, такими как IBM. Барон специализируется на системах реагирования на инциденты, компьютерной криминалистике и аудите безопасности для ведущей аэрокосмической компании.
Его опыт включает в себя этику пентестирования, социальную инженерию, аудит информационной безопасности, исследования систем с открытым исходным кодом и тому подобное.
На экране вы видите список участников нашей дискуссии и их аккаунты в Твиттере.
А теперь я передаю звонок Иерихону.
Джерико: Пожалуйста, поднимите руки, если не считаете себя засранцем.
Я вижу только одну руку! Покиньте зал, нам здесь не нужны обманщики! Теперь пусть те, кто не получает выгоды от своей работы в сфере безопасности, поднимут руки.
Отлично, кто-то поднял руку.
Наконец, пусть поднимут руки те, кто знаком с предысторией истории HBGary или хотя бы с половиной саги Anonymous. Одна рука, наверное, другой обманщик! Итак, никто из вас не собирается признаваться, что работаете в HBGary? 
Пол Робертс: Или HBGary Federal, это разные компании!
Джерико: Да, я знаю, что это разные компании.
Голос из зала: У меня есть адрес электронной почты этой компании! Джерико: Они тебе платят? Голос из зала: нет, не платят! Пол Робертс: Должно быть, этот адрес электронной почты был создан только в феврале! Джерико: ок, это сужает круг вопросов, в нашей группе уже есть один анонимный участник.
Итак, подумайте над моими вопросами, ведь если вы честно подняли руку в ответ хотя бы на один из них, то можете смело уйти из этой аудитории.
Потому что задача нашей группы - объективно рассмотреть позицию обеих сторон и обвинения, выдвинутые против Аарона, так как в данном случае было слишком много критики, но при этом мы забыли посмотреть на себя и признать, что сами находимся на полпути стать монстрами.
Джошуа Корман: На этом слайде вы видите информацию для тех, кто не знает нашей философии – тот, кто не сражается с монстрами, не обязательно станет одним из них.
В этом смысле я вижу когнитивный диссонанс между поведением тех, кто хочет присоединиться к группе NonOps, и ребят из Fortune 50, которые хотят с ними бороться.
Думаю, бесполезно говорить обо всех этих белых, серых и черных шляпах при прохождении подземелий Dungeons & Dragons. 
Это не просто борьба добра и зла.
Я имею в виду, что некоторые люди представляют Аарона как своего рода Робин Гуда, добрую арабскую весну, которая освободила угнетенных.
Другие видят в нем злого Джокера, мечтающего сжечь весь мир.
Знаете, когда мы попытались выяснить правду, наш разговор не продвинулся вперед, приняв хаотичный характер, потому что мы хотели дать объективную оценку произошедшему, не навешивая ярлыков на добро и зло.
Больше всего нас беспокоила романтизация положительных сторон его действия, но в то же время мы не до конца осознавали, какие роли хотели сыграть сами.
Я думаю, смысл статьи Пола в том, что когда мы сражаемся с монстрами так, как это делал Аарон, мы теряем частичку собственной души.
Аарон — живое воплощение того, как можно нарушить свою личную этику, поступая подобным образом.
В результате мы не контролируем ситуацию, а, наоборот, становимся жертвой спровоцированных нами обстоятельств.
Поэтому, пытаясь разобраться в этом конфликте, подумайте, как бы вы себя повели, оказавшись на месте той или иной стороны.
Играйте за обе стороны конфликта, потому что в погоне за большей безопасностью мы можем получить что-то даже худшее, чем Патриотический акт 2001 года.
Мы можем заставить влиятельных, но плохо информированных людей предпринять решительные, но необдуманные шаги.
Джерико: И довольно быстро, и Аарон, вероятно, не учел этого.
Вы видите эти квадраты со шляпами, и если ни одна из этих шляп вам не подходит, попробуйте выбрать себе один из шести остальных квадратов.
Барон, что вы об этом думаете? Барон фон Аарр: Я нахожусь в центре всего этого, потому что с одной стороны есть правительство, разведывательные службы и другие организации, вовлеченные в такую деятельность, особенно компания Аарона, а с другой стороны люди, которые начали раскрывать, как власти дезинформируют население, собирают личную информацию и тому подобное.
Аарон просто перешел черту, сообщив об этом своей компании или юридической фирме, которая готова преследовать людей так, как не позволяется даже ЦРУ.
Один из Анонимов тоже перешёл эту черту, взяв на себя Чёрную Шляпу, но, как сказал Иерихон, мы все — Серые Шляпы.
Один человек — террорист, другой — борец за свободу, и вы должны знать, где вы стоите, чтобы не попасть в тиски.
Пол Робертс: Спасибо, это были хорошие мысли.
Я думаю, первый вопрос, который нужно задать, это кто такие Анонимы и откуда они взялись? Джошуа Корман: Я возьму на себя инициативу и предложу, чтобы несколько человек из этой группы находились в этом зале и, возможно, даже на этой сцене.
Это не просто группа, и мы все это знаем, это как модный бренд, как франшиза.
Я имею в виду, что есть люди, которые решили назвать себя так, потому что они проводят что-то вроде «арабской весны» на местном уровне, что-то похожее на анонимный проект PostSecret. Это способ делать что-то, не опасаясь быть пойманными, возможно, в качестве осведомителей, и такие люди могут составить очень ценную часть нашей культуры.
Я думаю, что это своего рода захват идеи небольшими группами, и теперь это может быть либо пользой для общества, либо угрозой для него, в зависимости от того, кто вы.
Лично я был бы очень разочарован, если бы вы действительно думали, что можете улучшить безопасность, продемонстрировав ее недостатки.
То, что Fortune 50 сделал с Cisco, никоим образом не улучшило и не повысило безопасность.
Джерико: подождите, вы хотите сказать, что выявление сбоев и уязвимостей не повышает безопасность? Джошуа Корман: Нет-нет, давайте посмотрим на это с другой точки зрения.
Я имею в виду, что любое вмешательство будет иметь эффект, другое дело, что зачастую это не тот эффект, которого мы хотим добиться.
Я не хочу, чтобы эти процессы создавали хаос, но я не хочу и устранять тех, кто это делает, просто давайте как-нибудь организуем нашу игру.
Почему бы не сосредоточить деятельность LulzSec, например, на сайтах, посвященных эксплуатации детей, или почему люди не участвуют в обнаружении джихадистских сайтов.
У нас есть способность вызывать не просто хаос, а вызывать, так сказать, целенаправленный хаос.
Но если на самом деле мы чувствуем себя бессильными перед лицом захвата PCI, захватившего нашу отрасль, если на самом деле мы не знаем, как выполнять свою работу ответственно, потому что руководство нас не слушает, тогда могли бы быть более конструктивные способы общения.
это другим.
Барон фон Аарр: Я думаю, они придумали это после того, как изначально сказали, что просто хотят взломать эти вещи, чтобы придать некоторую легитимность тому, что они делают. Они хотели кого-то поймать, чтобы потом подать на него в суд, при этом говоря: «Мы сделали это, потому что верили в это».
Я не верю, что в этом вся суть.
Я думаю, что такая практика распространена вплоть до самого высокого уровня правительства, поэтому во многих странах у нас есть субъекты, которые атакуют разные вещи, и они могут действовать как эритроциты, которые работают в других правительственных разведывательных группах, потому что они анонимы! Джерико: Я не согласен с этим определением.
Я имею в виду, что мы, работающие в этой отрасли достаточно долго, от 40 до 80 часов в неделю, бьемся головой о стену, потому что нас не слушают. Сколько из нас сталкивались с опытом, когда результат нашей работы может вызвать физические изменения обнаруженной проблемы только, скажем, через 15 лет? При этом каждые полгода мы возвращаемся, перепроверяем результаты нашего пентестирования и видим, что абсолютно ничего не исправлено! Они не исправили удаленные службы, не очистили программное обеспечение, не сделали ничего, что мы им рекомендовали.
Так может быть, теперь настала очередь Anonymous или LulzSec взяться за эти компании, «прогнуть» их, тем самым пробудив от спячки? (смех в зале).
Барон фон Ааарр: Я согласен, что Anonymous может выступать в качестве бизнес-модели.
Я бы согласился, что необходимость в этом есть, но думаю, что даже после этого руководители компаний просто вернутся к своему сомнамбулизму, играя со своими iPad и другими новыми игрушками, продолжая игнорировать политику безопасности, думая: «Это не так».
беспокоят меня, потому что я отношусь к уровню «С».
Поэтому, как бы они ни боялись, они все равно вернутся к старым плохим моделям поведения, и ничего не изменится.
Джошуа Корман: Я абсолютно не верю, что хакерские атаки — это возможность как-то изменить статус-кво в пользу укрепления безопасности.
Я видел реакцию жертв атак LulzSec и уверяю вас, что это не сделало их мудрее.
Это моя точка зрения, но я думаю, что здесь есть возможность начать другой разговор, чтобы продвинуться вперед. Вместо того, чтобы просто ждать 15 лет, пока наша работа принесет результат. Я просто не вижу, чтобы подобные сообщения достигали своих целей.
Посмотрите на Сони.
Ее руководство считает, что землетрясение принесло им гораздо больше разрушений и финансового ущерба, чем хакерские атаки — на сайте Джерико, если не ошибаюсь, зафиксировано 23 случая атак на Sony. Давайте просто задумаемся о временных изменениях - мы перешли от немотивированного и невежественного хаотического поведения акторов к их сознательным и мотивированным действиям, но в то же время, по сути, мы просто перешли от одного вида бездействия к другому виду бездействия.
.
Мне вообще очень жаль Sony. Да, мы выявили уязвимость в ее системах безопасности, но потери от землетрясения не могут сравниться с потерями от атак, и я боюсь, что влиятельные, но невежественные лидеры сочтут последний вид потерь вполне приемлемым.
Я не говорю, не делайте этого, я просто думаю, что есть много способов направить эти вещи в правильном направлении, потому что если это еще одна причина игнорировать всю нашу отрасль, то мы облажались.
Иерихон: Вы говорите, что компании не учатся, но, например, после того, как LulzSec «взломала» Sony каким-то не очень тонким способом, они немедленно уволили всех своих сотрудников по интернет-безопасности.
Так что они хорошие ученики, но вполне возможно, что кто-то из их собственных сил безопасности был «Черной шляпой».
Если бы у них был весь этот персонал службы безопасности, которому было бы все равно, возможно ли, что этот человек решил спровоцировать такую ситуацию, чтобы они поняли, чего им будет стоить игнорирование правил безопасности? Джошуа Корман: Может быть, имеет смысл привлечь таких, как я, в прессу, например, для мониторинга положения дел в этой сфере? Потому что то, что Anonymous и LulzSec смогли сделать с Sony, является хорошим уроком.
Я стараюсь не зацикливаться на том, как именно они это сделали, никого не волнует, что есть миллион способов сделать это.
Если вы проигнорируете пентестера, обнаружившего уязвимость в вашей платформе, будьте готовы к тому, что вас обманут. Я считаю, что если вы не попытаетесь понять, что стоит за происходящим, то эти действия будут иметь для вас еще более негативные последствия, поэтому я просто надеюсь, что такие атаки смогут чему-то научить компанию.
Пол Робертс: Я думаю, вы знаете, что хактивизм имеет долгую историю, достаточно взглянуть на группу Electronic Disturbance Theater, основанную в 1997 году, целый легион подпольных групп, называющих себя Федерацией Культа Мертвой Коровы и т. д. Вы знаете, что многие хактивистские инциденты , и это документально подтверждено, были спровоцированы политическими причинами, например, борьбой за права человека.
Я думаю, Джошуа имел это в виду, когда говорил о том, как сделать Anonymous лучше.
Я просто хочу, чтобы мы попытались найти какую-то общую нить между хактивистскими операциями в Тунисе и Египте, атаками на Sony, контратакой Anonymous на HBGary и деятельностью пентестеров, чтобы мы попытались разобраться, что нас объединяет и что мы могу с этим поделать.
Барон фон Аарр: Я хотел бы вернуться немного назад. Страховка от взлома дорожает не случайно.
Многие компании, в частности, вчера об этом слышали, но имена называть не буду, уволили кучу людей из своего отдела безопасности и купили страховку от взлома.
Джерико: Я заплачу тебе 100 долларов прямо сейчас, если назовешь!
Барон фон Арр: нет, спасибо!
Пол Робертс: Кто из этой аудитории застрахован от кражи со взломом? Барон фон Ааарр: вернемся к вашему вопросу, я уже забыл, как это звучит? 
Пол Робертс: Он говорил о том, как исторически хактивизм был идеологически мотивирован, будь то противостояние Китаю и поддержка Мьянмы или противостояние Республиканской партии, благослови Бог.
Но если посмотреть на Anonymous или LulzSec, то довольно сложно понять, что они пытаются донести до общества своей деятельностью.
Операции хактивистов в Тунисе и Египте казались очевидными и было ясно, что они пытались доказать, но в случае с Sony и HBGary мне было неясно, чего они пытались достичь.
Барон фон Аарр: Я бы сказал, что зарождением Anonymous стала борьба с саентологией.
У них были люди, вовлеченные в Саентологию, у них были друзья, у них были семьи, которые поддерживали ее, и началом Anonymous стало создание сайтов, критикующих Церковь Саентологии.
Они взяли на себя гиганта, у которого было много денег и много юристов.
Они пытались организовать настоящую «арабскую весну», пытались сделать что-то хорошее и противостоять атакам в Интернете.
Но когда движение Anonymous начало разветвляться на AntiSec, LulzSec и все, что возникло прямо перед HBGary, стало ясно, что это нечто совершенно иное.
И я уверен, что их мотивацией для начала атаки было то, что Аарон публично рассказал о них в новостях, что нарушило их анонимность, и именно поэтому они его наказали.
Его вина в том, что правда о том, что они делали, начала выходить наружу.
Но после этого LulzSec стали выглядеть так, будто утратили свою конкретную цель — теперь они просто нападают на полицию в Финиксе, штат Аризона, потому что им не нравятся местные иммиграционные законы.
Мне это тоже не нравится, но сотрудники правоохранительных органов, которые обязаны обеспечивать соблюдение законов, принятых законодательным органом, и которые не имеют других рычагов воздействия на законы, кроме собственных голосов избирателей, не заслуживают того, чтобы подвергаться опасности.
Говорят, что список СНГ был недавно опубликован, я его еще не видел, но люди в нем тоже могут быть в опасности, потому что их имена известны как СНГ.
Джошуа Корман: Я знаю, что среди этой аудитории есть много практикующих, которые хотят изменить ситуацию в свою пользу.
Мы прилагаем все усилия каждый день, чтобы убедиться, что мы можем выполнить нашу миссию, но когда происходят громкие, шумные и заметные нападения, подобные этой, внимание общественности переключается на них.
Меня не волнует, что они украли кучу номеров кредитных карт, но я знаю, что негативных последствий этого факта очень мало по сравнению с последствиями кражи интеллектуальной собственности, которую невозможно заменить.
Фактически, это отвлекает нас от нашей основной миссии, точно так же, как PCI отвлекает нас от нашей основной миссии, потому что наши лидеры отвлекаются от управления рисками, беспокоясь о защите стандарта платежных карт. А последствием факторов, отвлекающих от управления рисками, стали шумные DDoS-атаки, подвергающие риску целые организации и приводящие к увольнениям и потере этих незаменимых активов.
Итак, теперь у нас есть новая шумная вещь, которая отвлекает нас от истинной миссии.
Все мы знаем о группах, разоблачающих случаи эксплуатации детей.
Никому из нас не нравится эксплуатация детей, и мы знаем, что есть плохие люди, которые делают плохие вещи, такова природа Интернета.
Однако с ними можно справиться менее провокационным способом.
Пусть те, кому не нравится тактика манипулирования потребительским спросом FUD в нашей отрасли, поднимут руки.
Наверняка кто-то сталкивался с поставщиком продукции, который был полным дерьмом.
Как вы знаете, существует три компонента FUD — Страх, Неопределенность, Сомнение, страх, неуверенность и сомнение, которые могут вызвать тот же эффект, который вызывает трехсторонняя DDoS-атака или DDoS-кампания, поэтому мы сможем удержать продавцов от распространяя всякую чушь, сея среди них страх, неуверенность и сомнения.
Иерихон: Короче говоря, Anonymous должны разработать меню, например, двухдневных DDoS-атак на недобросовестных продавцов.
24:55 мин.
Конференция DEFCON 19. Аноним и мы.
Часть 2 Спасибо, что остаетесь с нами.
Вам нравятся наши статьи? Хотите увидеть больше интересных материалов? Поддержите нас, разместив заказ или порекомендовав друзьям, Скидка 30% для пользователей Хабра на уникальный аналог серверов начального уровня, который мы придумали для вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от 20$ или как правильно расшарить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40 ГБ DDR4).
VPS (KVM) E5-2650 v4 (6 ядер) 10 ГБ DDR4 240 ГБ SSD 1 Гбит/с бесплатно до весны при оплате на срок от шести месяцев и более вы можете заказать здесь .
Dell R730xd в 2 раза дешевле? Только здесь 2 x Intel Dodeca-Core Xeon E5-2650v4 128 ГБ DDR4 6x480 ГБ SSD 1 Гбит/с 100 ТВ от 249 долларов США в Нидерландах и США! Прочтите об этом Как построить корпоративную инфраструктуру класса, используя серверы Dell R730xd E5-2650 v4 стоимостью 9000 евро за копейки? Теги: #информационная безопасность #программирование #ИТ-инфраструктура #Конференции #Аноним #Аноним
-
Срочные Задачи. Пусть Придет Спаситель
19 Oct, 24 -
Лучший Переключатель: Полдела Сделано
19 Oct, 24 -
Сто Лет Истории Беспилотных Автомобилей
19 Oct, 24
