Sie sehen den Satz „Wer kämpft gegen Monster?“ Auf dem Bildschirm, und ich bin der Moderator dieser Präsentation, Paul Roberts, Herausgeber von Bedrohungspost.com, einem Nachrichtenportal für Computersicherheit. Wir haben eine große Gruppe von Rednern, die ich in ein paar Sekunden vorstellen werde, aber jetzt werde ich über die Grundregeln unserer Diskussion sprechen. Wir haben auch Folien, die sich darauf beziehen, was jeder Teilnehmer an der Diskussion erzählen wird.
Nach der Rede werden wir Fragen beantworten, aber wir haben nur eine Stunde Zeit. Ich bitte Sie, die Notizen mit den Fragen vor der Tür zu machen. Dort haben wir einen Raum für Fragen und Antworten, und dann werden Ihre Fragen an die Redner weitergeleitet.
Ich bin also Paul Roberts und präsentiere die Geschichte des bekannten Anonymous und Aaron Barr, eines Mitarbeiters von HBGary, der sagte, er habe die Anführer dieser Hacker-Gruppe identifiziert, woraufhin Anonymous die Server des Unternehmens angriff. Unser Portal Bedrohungspost.com hat, wie viele andere auch, diese Geschichte behandelt.
Ich persönlich kenne Aaron, er hat sich an mich gewandt, nachdem ich einen Leitartikel mit dem Titel „Gewinnen Sie den Krieg, aber verlieren Sie Ihre Seele“ geschrieben habe (aktueller Link zum Artikel
Bedrohungspost.com/rsa-2011-winning-war-losing-our- soul-022211/74958 ).
Dieser Artikel wurde während der jährlichen RSA-Sicherheitskonferenz im Februar dieses Jahres verfasst. Wenn Sie sich erinnern, wurde HBGary in der letzten Minute dieser Konferenz buchstäblich gehackt, und bald kontaktierte Aaron unsere Redaktion. Sie finden diese Informationen bei Google.
Ich war wahrscheinlich einer der wenigen Journalisten, die Aaron ihr aufrichtiges Mitgefühl ausdrückten, das er als Ergebnis des anonymen Angriffs ertragen musste, und wie Sie wissen, haben wir uns alle geirrt! Die meisten von uns haben keinen eigenen Stephen Colbert, der sich über unsere Fehler lustig machen würde, was Aaaron leider für ihn tun könnte. Daher dachten Joshua und ich, dass das Sprechen bei Defcon eine großartige Gelegenheit war, wie ich gehofft hatte, mit Aaron zu dieser Angelegenheit zurückzukehren und herauszufinden, was dann wirklich passiert ist. Um ehrlich zu sein, wollte Aaron auch unbedingt an unserer Diskussion teilnehmen, aber die Anwälte von HBGary haben diesem Plan ein Ende gesetzt. Sie kontaktierten Aaron und drohten ihm mit einer Klage, dass sie, wenn er sich bereit erklärt, am heutigen Gespräch teilzunehmen, seine neuen Arbeitgeber darüber informieren und im Allgemeinen versuchen werden, sein Leben zu ruinieren.
Aaron ist ein Mann mit einer Frau, Kindern und einer Hypothek, und wir wissen, wie solche Bedrohungen funktionieren. Deshalb musste Aaron sich weigern, an unserem Gespräch teilzunehmen. Bevor ich jedoch mit der Diskussion beginne, möchte ich ihm noch meine Bereitschaft zum Ausdruck bringen, dass er zumindest den Mut hatte, unseren Vorschlag anzunehmen, und wenn es nicht den Ansturm der Anwälte gegeben hätte, wäre er wahrscheinlich hierher gekommen.
Lassen Sie mich die Mitglieder unserer Gruppe vorstellen. Zu meiner Linken ist Joshua Corman, er ist der Direktor des Akamai-Sicherheitsdienstes.
Wenn Sie vorhaben, ihn anzugreifen, werde ich für alle Fälle sagen, dass er auch die praktische Sicherheitseinheit in der regionalen Gruppe Defcon 451 leitet. Seine Gruppe besteht seit mehr als zehn Jahren, und Joshua selbst verfügt über umfangreiche Erfahrung in der Netzwerksicherheit und Softwareentwicklung auch IBMs Chefstratege für Internetsicherheit.
Jericho sitzt zu seiner Rechten, er beschäftigt sich seit ungefähr 18 Jahren mit Hacker-Sicherheit, von denen 12 die Bildung wertvoller Fähigkeiten wie gesunde Skepsis und Toleranz gegenüber Alkohol waren. In diesem Jahr testete er, wie ein Hacker gegen die Sicherheit vorgehen kann. Dies ist eine großartige Aussicht, um negative Bewertungen über den Betrieb eines Sicherheitssystems zu erstellen. Jericho ist ein großartiger Spezialist in dieser Angelegenheit, und heute werden wir darüber sprechen.
Er glaubt, dass die Idee eines progressiven Denkens veraltet ist, weil eine Person die ganze Zeit denken muss. Keine Abschlüsse, keine Zertifikate, er will nicht über sich selbst sprechen und bleibt der Verfechter einer gewissenhaften Einstellung zur Sicherheit. "Fair und ausgewogen" - das ist das Motto einer unverständlichen kleinen Kreatur, die sich auf der Hauptseite seiner Website attrition.org befindet.
Rechts von Jericho befindet sich Baron von Aaarr. Er ist seit 13 Jahren Sicherheitsexperte und hat mit IT-Unternehmen wie IBM zusammengearbeitet. Baron ist an Incident-Response-Systemen, Computerforensik und Sicherheitsaudits eines führenden Luft- und Raumfahrtunternehmens beteiligt.
Seine Expertise umfasst die Ethik des Pentesting, Social Engineering, eine Prüfung der Informationssicherheit, Forschung zu Open Source-Systemen und dergleichen.
Auf dem Bildschirm sehen Sie eine Liste der Teilnehmer unserer Diskussion und ihrer Twitter-Konten. Und jetzt gebe ich das Wort an Jericho weiter.
Jericho: Bitte heben Sie Ihre Hände diejenigen, die sich nicht als Idioten betrachten. Ich sehe nur eine Hand! Verlasse den Raum, wir brauchen hier keine Betrüger! Lassen Sie nun diejenigen, die nicht von ihrer Arbeit im Bereich Sicherheit profitieren, die Hände heben. Großartig, jemand hob eine Hand. Lassen Sie abschließend diejenigen, die mit dem Hintergrund der HBGary-Geschichte oder mindestens der Hälfte der anonymen Saga vertraut sind, die Hände heben. Eine Hand ist wahrscheinlich ein anderer Betrüger! Also wird keiner von Ihnen zugeben, dass Sie bei HBGary arbeiten?
Paul Roberts: oder HBGary Federal, das sind verschiedene Unternehmen!
Jericho: Ja, ich weiß, dass dies verschiedene Unternehmen sind.
Stimme des Publikums: Ich habe eine E-Mail-Adresse für diese Firma!
Jericho: Bezahlen sie dich?
Stimme des Publikums: Nein, sie zahlen nicht!
Paul Roberts: Wahrscheinlich wurde diese E-Mail-Adresse erst im Februar erstellt!
Jericho: Nun, es schränkt die Suche ein, es gibt bereits ein Mitglied von Anonymous in unserer Gruppe. Denken Sie also über meine Fragen nach, denn wenn Sie ehrlich Ihre Hand erhoben und mindestens eine davon beantwortet haben, können Sie sicher aus diesem Publikum herauskommen. Denn die Aufgabe unserer Fraktion ist es, die Position beider Parteien und die gegen Aaron erhobenen Vorwürfe objektiv zu betrachten, da es in diesem Fall zu viel Kritik gab, aber gleichzeitig haben wir vergessen, uns selbst anzusehen und zuzugeben, dass wir selbst auf halbem Weg sind, bevor wir uns in Monster verwandeln.
Joshua Corman: Auf dieser Folie sehen Sie Informationen für diejenigen, die unsere Philosophie nicht kennen - jemand, der nicht gegen Monster kämpft, wird nicht unbedingt einer von ihnen. In diesem Sinne beobachte ich eine kognitive Dissonanz im Verhalten derer, die sich der NonOps-Gruppe anschließen wollen, und der Fortune 50-Leute, die gegen sie kämpfen wollen. Ich denke, es ist sinnlos, über all diese weißen, grauen und schwarzen Hüte zu sprechen und die Dungeons & Dragons-Dungeons zu räumen.
Dies ist nicht nur ein Kampf zwischen Gut und Böse. Ich meine, einige Leute repräsentieren Aaron als eine Art Robin Hood, den guten „arabischen Frühling“, der die Unterdrückten befreit hat. Andere sehen ihn als bösen Joker, der die ganze Welt verbrennen will. Wissen Sie, als wir versuchten, die Wahrheit herauszufinden, ging unser Gespräch nicht voran und nahm einen chaotischen Charakter an, weil wir dem Vorfall eine objektive Bewertung geben wollten, ohne Etiketten von Gut und Böse aufzuhängen. Vor allem waren wir verwirrt von der Romantisierung der positiven Aspekte seiner Handlung, aber gleichzeitig waren wir uns der Rollen, die wir selbst spielen möchten, nicht ganz bewusst. Ich denke, der Punkt in Pauls Artikel ist, dass wir, wenn wir wie Aaron gegen Monster kämpfen, ein Stück unserer eigenen Seele verlieren. Aaron ist eine lebendige Verkörperung dessen, wie Sie Ihre persönliche Ethik verletzen können, indem Sie ähnliche Handlungen begehen. Infolgedessen kontrollieren wir nicht die Situation, sondern werden Opfer der von uns provozierten Umstände. Denken Sie daher beim Versuch, diesen Konflikt zu verstehen, darüber nach, wie Sie sich verhalten würden, wenn Sie an der Stelle der einen oder anderen Seite wären. Probieren Sie die Rollen beider Konfliktseiten aus, denn im Streben nach verbesserter Sicherheit können wir etwas noch Schlimmeres erreichen als das Patriotische Gesetz von 2001.
Wir können einflussreiche, aber nicht informierte Menschen dazu zwingen, mächtige, aber schlecht durchdachte Schritte zu unternehmen.
Jericho: und ziemlich schnell, und Aaron hat das wahrscheinlich nicht berücksichtigt. Sie sehen diese Schachteln mit Hüten, und wenn Ihnen keiner dieser Hüte zusagt, versuchen Sie, eine der anderen sechs Schachteln für sich selbst auszuwählen. Baron, was denkst du darüber?
Baron von Aaarr: Ich bin mitten in all dem, weil es einerseits eine Regierung, Sonderdienste und andere Organisationen gibt, die an ähnlichen Aktivitäten beteiligt sind, insbesondere Aarons Unternehmen, und andererseits Leute, die zu offenbaren begannen, wie die Behörden die gesammelten Personen falsch informieren persönliche Informationen und dergleichen. Aaron überschritt einfach die Grenze und erzählte dies seiner Firma oder Anwaltskanzlei, die bereit ist, Menschen auf eine Weise zu verfolgen, die selbst die CIA nicht zulässt.
Einer von Anonymous hat diese Grenze ebenfalls überschritten und einen schwarzen Hut anprobiert, aber wie Jericho sagte, sind wir alle graue Hüte. Eine Person ist ein Terrorist, eine andere Person ist ein Freiheitskämpfer, und Sie müssen wissen, welchen Platz Sie einnehmen, um nicht in einem Schraubstock gefangen zu werden.
Paul Roberts: Danke, das waren gute Gedanken. Ich denke, Sie müssen zuerst fragen, wer diese Anonymen sind und woher sie kommen.
Joshua Corman: Ich werde mich selbst treffen und die Meinung äußern, dass mehrere Personen aus dieser Gruppe in diesem Raum und möglicherweise sogar auf dieser Bühne anwesend sind. Dies ist nicht nur eine Gruppe, und wir alle wissen davon, es ist wie eine Modemarke, wie ein Franchise. Ich meine einige Leute, die beschlossen haben, so genannt zu werden, weil sie auf lokaler Ebene so etwas wie den „Arabischen Frühling“ machen, ähnlich dem anonymen PostSecret-Projekt. Dies ist ein Weg, etwas zu tun, ohne Angst zu haben, vielleicht als Whistleblower erwischt zu werden, und solche Menschen können einen sehr wertvollen Teil unserer Kultur bilden. Ich denke, dies ist eine Art Entführungsidee von kleinen Gruppen, und jetzt kann sie entweder dem Gemeinwohl dienen oder eine Bedrohung für sie darstellen, je nachdem, wer Sie sind. Persönlich werde ich sehr enttäuscht sein, wenn Sie wirklich glauben, dass Sie die Sicherheit verbessern können, indem Sie ihre Fehler demonstrieren.
Was Fortune 50 mit Cisco gemacht hat, hat in keiner Weise die Sicherheit oder die Sicherheit verbessert.
Jericho: Warten Sie, was möchten Sie sagen, dass die Abdeckung von Fehlern und Schwachstellen nicht zur Verbesserung der Sicherheit beiträgt?
Joshua Corman: Nein, nein, schauen wir es uns aus einer anderen Perspektive an. Ich meine, dass jede Intervention eine Wirkung haben wird. Eine andere Sache ist, dass dies oft nicht die Wirkung ist, die wir erreichen wollen. Ich möchte nicht, dass diese Prozesse Chaos verursachen, aber ich möchte nicht diejenigen eliminieren, die dies tun. Lassen Sie uns einfach unser Spiel irgendwie organisieren. Warum nicht die Aktivitäten von LulzSec zum Beispiel auf Websites zur Ausbeutung von Kindern lenken oder warum sich Menschen nicht an der Entdeckung dschihadistischer Websites beteiligen? Wir haben die Möglichkeit, nicht nur Chaos zu verursachen, sondern auch absichtliches Chaos, wenn ich so sagen darf.
Wenn wir uns jedoch in Wirklichkeit machtlos fühlen, bevor PCI-Hijacking unsere Branche übernommen hat, wenn wir in Wirklichkeit nicht wissen, wie wir unsere Arbeit verantwortungsbewusst erledigen sollen, weil das Management uns nicht zuhören möchte, könnte es konstruktivere Möglichkeiten geben, dies zu vermitteln andere.
Baron von Aaarr: Ich denke, sie haben sich das ausgedacht, nachdem sie zum ersten Mal gesagt hatten, dass sie sich nur in diese Dinge einhacken wollten, um ihren Handlungen eine gewisse Legitimität zu verleihen. Sie wollten jemanden fangen, der ihn später verklagte und sagte: "Wir haben es getan, weil wir daran geglaubt haben." Ich glaube nicht, dass dies der springende Punkt ist. Ich denke, dass diese Praxis bis auf die höchste staatliche Ebene verbreitet ist, daher haben wir in vielen Ländern Akteure, die verschiedene Dinge angreifen, und sie können als rote Blutkörperchen fungieren, die in anderen Geheimdienstgruppen der Regierung arbeiten, weil sie anonym sind !
Jericho: Ich stimme dieser Definition nicht zu. Ich meine, wir, die wir schon ziemlich lange in dieser Branche arbeiten, 40 bis 80 Stunden pro Woche, schlagen unsere Köpfe gegen die Wand, weil sie uns nicht zuhören. Wie viele von uns haben die Tatsache durchlaufen, dass das Ergebnis unserer Arbeit das entdeckte Problem erst nach beispielsweise 15 Jahren physisch verändern kann? Gleichzeitig überprüfen wir alle sechs Monate die Ergebnisse unseres Pentests und stellen fest, dass absolut nichts behoben wurde! Sie haben die Remote-Dienste nicht repariert, die Software nicht bereinigt und nichts getan, was wir ihnen empfohlen haben. Vielleicht ist es jetzt an Anonymous oder LulzSec, diese Unternehmen aufzunehmen, sie zu "biegen" und so aus dem Winterschlaf zu erwachen? (Gelächter des Publikums).
Baron von Aaarr: Ich stimme zu, dass Anonymous als Geschäftsmodell fungieren könnte. Ich würde zustimmen, dass dies notwendig ist, aber ich denke, dass die Firmenchefs auch danach einfach zu ihrem Somnambulismus zurückkehren werden, zu Spielen mit ihrem iPad und anderen neuen Spielzeugen, die Sicherheitspolitik weiterhin ignorieren und denken: „Das geht mich nichts an, weil Ich gehöre zur Stufe "C". Egal wie sehr sie Angst haben, sie werden immer noch zu dem alten ungeeigneten Verhaltensmuster zurückkehren, und nichts wird sich ändern.
Joshua Corman: Ich glaube absolut nicht, dass Hackerangriffe eine Gelegenheit bieten können, die aktuelle Situation irgendwie zu ändern, um die Sicherheit zu stärken. Ich habe die Reaktion der Opfer der LulzSec-Angriffe gesehen und versichere, dass dies sie nicht klüger gemacht hat. Dies ist mein Standpunkt, aber ich denke, dass es eine Gelegenheit gibt, ein weiteres Gespräch zu beginnen, um die Dinge voranzutreiben. Anstatt nur 15 Jahre in Erwartung zu frieren, bis unsere Arbeit in Kraft tritt. Ich sehe einfach nicht, dass solche Botschaften ihre Ziele erreichen. Schau dir Sony an. Ihre Führung glaubt, dass das Erdbeben ihnen viel mehr Schaden und finanziellen Schaden zugefügt hat als Hackerangriffe - wenn ich mich nicht irre, hat Jerichos Website 23 Fälle von Angriffen auf Sony aufgezeichnet.
Denken wir nur an vorübergehende Veränderungen - wir sind vom unmotivierten und ignoranten chaotischen Verhalten der Schauspieler zu ihren bewussten und motivierten Handlungen übergegangen, aber tatsächlich haben sie einfach von Untätigkeit einer Art zu Untätigkeit einer anderen Art gewechselt. Sony tut mir wirklich leid. Ja, wir haben Verwundbarkeit in seinen Sicherheitssystemen gezeigt, Erdbebenverluste können jedoch nicht mit Verlusten durch Angriffe verglichen werden, und ich befürchte, dass mächtige, aber nicht informierte Führer die letztgenannten Verluste als durchaus akzeptabel betrachten werden. Ich sage nicht "Tu es nicht", ich denke nur, dass es viele Aspekte gibt, die diese Ereignisse in die richtige Richtung lenken können, denn wenn dies ein weiterer Grund ist, unsere gesamte Branche zu ignorieren, haben wir es vermasselt.
Jericho: Sie sagen, dass Unternehmen nichts lernen, aber als Beispiel möchte ich sagen, dass LulzSec, nachdem er Sony auf nicht sehr raffinierte Weise „gehackt“ hat, sofort alle Internet-Sicherheitspersonal entlassen hat. Sie lernen also gut, aber es könnte sein, dass jemand in ihrem eigenen Sicherheitsdienst der Black Hat war. Wenn sie dieses ganze Sicherheitspersonal hatten, das sich nicht darum kümmerte, ist es möglich, dass diese Person beschlossen hat, eine Situation zu provozieren, damit sie versteht, was es sie kosten würde, Sicherheitsempfehlungen zu vernachlässigen?
Joshua Corman: Vielleicht ist es sinnvoll, Leute wie mich zum Beispiel für die Presse zu gewinnen, um die Situation in diesem Bereich zu überwachen? Denn was Anonymous und LulzSec mit Sony machen konnten, ist eine gute Lektion. Ich versuche mich nicht genau darauf zu konzentrieren, wie sie es gemacht haben, niemand kümmert sich darum, dass es eine Million Möglichkeiten gibt, dies zu tun.
Wenn Sie den Pentester ignorieren, der die Sicherheitsanfälligkeit Ihrer Plattform entdeckt hat, sollten Sie darauf vorbereitet sein, dass Sie "bekommen". Ich glaube, wenn Sie nicht versuchen zu verstehen, was hinter dem Geschehen steckt, werden diese Maßnahmen noch negativere Konsequenzen für Sie haben. Ich hoffe nur, dass solche Angriffe Unternehmen etwas beibringen können.
Paul Roberts: Ich denke, Sie wissen, dass Hacktivismus eine lange Geschichte hat. Schauen Sie sich nur das 1997 gegründete Electronic Disturbance Theatre an, eine Legion von Untergrundgruppen, die sich Föderation des Kultes der toten Kuh, "The Dead Cow Cult" usw. nennen. Sie wissen, dass viele hacktivistische Vorfälle, und dies ist dokumentiert, aus politischen Gründen wie dem Kampf für die Menschenrechte provoziert wurden. Ich denke, Joshua hatte dies im Sinn, als er über die Schaffung des besten Anonymen sprach. Ich möchte nur, dass wir versuchen, eine Verbindung zu finden, die Ähnlichkeiten zwischen den hacktivistischen Operationen in Tunesien und Ägypten, den Angriffen auf Sony, dem anonymen Angriff auf HBGary und den Aktivitäten der Pentester, damit wir herausfinden, was uns miteinander verbindet und was wir damit tun können zu tun.
Baron von Aaarr: Ich würde gerne ein wenig zurückgehen. Es ist kein Zufall, dass die Hackerversicherung im Preis steigt. Insbesondere viele Unternehmen haben gestern davon gehört, aber ich werde die Namen nicht erwähnen. Sie haben eine Menge Leute vom Sicherheitsdienst entlassen und eine Hacking-Versicherung abgeschlossen.
Jericho: Ich zahle dir jetzt 100 Dollar, wenn du sie anrufst!
Baron von Aaarr: nein danke!
: ? : , , ?
: , , , . Anonymous LulzSec, , . , , , Sony HBGary , .
: , Anonymous . , , , , , Anonymous , . , . « », - . «» AntiSec, LulzSec , HBGary, , . , , , , . , , , . LulzSec — , , .
, , , , , , , . , CIS, , , CIS.
: , , . , , , , , ,
, , , , . , PCI , . , , DDoS , , .
, . , . , , , , . .
, FUD . - , .
Wie Sie wissen, gibt es drei Komponenten von FUD: Angst, Unsicherheit, Zweifel, Angst, Unsicherheit und Zweifel, die den gleichen Effekt haben können, den ein Drei-Link-DDoS-Angriff oder eine DDoS-Kampagne verursacht, sodass wir Verkäufer davon abhalten können, alle Arten von Mist zu verbreiten und sich unter ihnen auszubreiten sie fürchten, unsicher und zweifeln.Jericho: Kurz gesagt, Anonymous sollte ein Menü entwickeln, zum Beispiel einen zweitägigen DDoS-Angriff auf skrupellose Verkäufer.24:55 Min.DEFCON-Konferenz 19. Anonym und wir. Teil 2Vielen Dank für Ihren Aufenthalt bei uns. Gefällt dir unser Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung
aufgeben oder Ihren Freunden empfehlen, einen
Rabatt von 30% für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von $ 20 oder wie teilt man den Server? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).
VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis zum Frühjahr kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie
hier bestellen.
Dell R730xd 2 mal günstiger? Nur wir haben
2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV von 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr über
den Aufbau eines Infrastrukturgebäudes. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?