Conferência DEFCON 19. Anônimo e nós. Parte 1Joshua Corman: você sabe, eu não sou um defensor da lei da máfia, mas não acho que essa abordagem deva desaparecer. Esta é uma questão importante. Se pensarmos que nosso setor é disfuncional e não temos certeza de que seremos ouvidos, adotemos uma abordagem mais estratégica e inteligente. Se você não criar essas três coisas, medo, incerteza e dúvida, nunca ouvirá falar de nós. Se você usar essa prática, ela se tornará exatamente o que acontecerá com você.
Eu acho que você pode ter mais chances de causar caos, motivando um medo estúpido, isso é uma coisa muito focada, e o efeito de seu uso pode mudar o comportamento do alvo.
Jericó: e defenderei um linchamento justo, que em alguns casos me convém perfeitamente. Se o Anonymous aceitar pedidos de "destruição", teremos uma lista completa de empresas que ameaçam o acusado com processo legal, se encontrarem uma vulnerabilidade ou algum tipo de contornar os sistemas de segurança, dizendo: "se você publicar os resultados de sua pesquisa, apresentaremos um arquivo para leve você a tribunal.
Existem as 10 principais empresas que realmente merecem ser punidas de uma maneira ou de outra. O mesmo vale para HBGary, que deveria ensinar outra lição semelhante, porque eles ameaçam Barr com processo criminal simplesmente por seu desejo de participar de nossa conversa. Apresento uma declaração sobre liberdade de expressão, mas não sei a citação exata. A HBGary agora não é apenas um bando de idiotas que se apressaram em dizer que não tinham nada a ver com isso, é todo o ramo federal da HBGary, eles também culparam o que aconteceu com o diretor desse ramo, Aaron Barr, como, ele é o idiota mais importante. Mas deixe-me - agora, depois que Barr deixou a empresa, eles giraram 180 ° e mostraram que eles são um mal muito maior, tentando limitar sua liberdade de expressão. Vou lhe contar o que realmente aconteceu. Paul sabe disso - Aaron duas vezes nos informou de sua intenção de vir aqui. A primeira vez que ele disse que viria, mas primeiro ele deveria falar sobre isso com seu novo empregador. Ele falou com ele e não tinha nada contra o discurso de Barr em nossa conferência. Então, ele nos contatou e disse que estava sendo ameaçado por seu antigo emprego e, como não podia arriscar o bem-estar de sua esposa e filhos, foi forçado a se recusar a se encontrar conosco. Lembre-se disso para ter uma imagem completa do que está acontecendo.
Paul Roberts: Quero falar sobre a HBGary para "agradecer" por terem processado Aaron por causa de nossa discussão e gostaria de evitá-lo. Todos vocês sabem que fatos desagradáveis sobre as atividades desta empresa surgiram depois que o Anonymous os invadiu e publicou suas cartas. Definitivamente, falaremos sobre isso, a fim de evitar que a HBGary evite responsabilidades ou interfira em nossa discussão sobre o que aconteceu.
Vamos voltar à nossa conversa. Fiquei surpreso ao ver o Anonymous como uma ferramenta para melhorar a indústria. Com relação às suas idéias sobre a prática de linchamento, notarei o que alguém da platéia me disse ontem - é como filmes com Clint Eastwood, onde ele vem à cidade e coloca as coisas em ordem lá. Você nunca sabe para qual cidade ele chegará e para onde irá restaurar ou, mais precisamente, estabelecer a ordem, sua versão da ordem.
Joshua Corman: Admito que isso está acontecendo e não desaparecerá em lugar algum. Vimos evidências de que uma divisão está ocorrendo no LulzSec e, quando você não tem princípios organizacionais, não tem uma missão ou um objetivo, apenas faz merda, e esse é o caminho certo para se autodestruir.
Paul Roberts: você acha que as informações que surgiram como resultado do ataque à HBGary, incluindo seus planos duvidosos para a Team Themis, Hunton & Williams e a Câmara de Comércio, confirmaram que nós, como sociedade, consideramos o ataque uma resposta adequada a transações desse tipo? E a segunda pergunta: algum de vocês acha que a publicação de tais informações reduzirá o número dessas transações, que, segundo a HBGary, "visam reduzir o número de grupos de oposição"?
Barão von Aaarr: Isso vem acontecendo no setor privado há muito tempo. A inteligência para o setor privado é um grande negócio. Mesmo antes do surgimento da Z ou da Blackwater, muitos ex-agentes de inteligência entraram nos negócios, onde começaram a realizar para empresas algo como operações secretas da Black Ops dentro e fora do país. Isso não é novidade, só que desta vez alguém pegou sua mão.
Jericó: Eu tenho uma pergunta para o público. Depois de toda essa saga sobre a HBGary, quando descobrimos o que eles estavam fazendo e o que realmente eram, qual de vocês ficou surpreso com o que eles estavam fazendo, se oferecendo para fazer e que idéias foram apresentadas? Como: "uau, nunca ouvi empresas fazerem isso!" Eu acho que vi apenas uma mão, e isso é bom. Porque, como disse o Barão, esse é um negócio multimilionário, se não bilionário. Nós simplesmente não conhecemos todas as empresas envolvidas nisso, porque elas não chegaram às notícias.
Eles me perguntam por que ouvimos esse cara, se ele não quer mostrar seu rosto?
Barão von Aaarr: Devo tirar meu disfarce?
Joshua Corman: Então considere-se um cadáver.
Jericó: a julgar pela reação do público, temos duas opiniões opostas. Surge então a pergunta: quem ouve o LulzSec quando diz que invadiu alguém, mas não publica nenhuma informação roubada, e quem acredita no Anonymous quando denuncia algo assim?
Joshua Corman: Acho que não devemos ouvir bobagens de que ele não mostra seu rosto, porque ele pode ser federal, portanto, aqueles que acreditam que o Barão deveria tirar sua máscara levantem as mãos. Vamos, corajosamente! Apenas duas pessoas?
Jericó: ok, agora levante suas mãos para aqueles que acreditam que o Barão deve manter o disfarce? A maioria do público, ótimo, eu pensei!
Paul Roberts: estes são chamados de "população auto-selecionada".
Jericó: na verdade, essa é uma grande questão: por que alguém deve divulgar sua identidade se é bem versado na essência da questão e tem experiência relevante? Agora que chegamos ao meio de nossa conversa, direi que o checamos, o conhecemos, sabemos algo sobre ele e que ele estava fazendo algo que não pode ser discutido abertamente. Acreditamos que ele dará uma contribuição útil à nossa discussão, por isso concordamos que ele está presente aqui como achar melhor.
Barão von Aaarr: Eu sou um esquilo! (risos) E sou a favor de falar abertamente. Nunca estive fechado, estou sempre aberto.
Jericó: ótimo, agora qualquer pessoa nesta sala verá que tipo de pessoa estava se escondendo atrás de uma máscara!
Barão von Aaarr: Estou aberto, mas não tiro fotos com muita frequência!
Jericó: que quem conhece esse homem levante a mão! Quatro ... cinco ... seis pessoas!
Barão von Aaarr: podemos assumir que ainda estou mascarado!
Jericó: isso confirma o que eu disse: não importa se uma pessoa tem uma máscara ou não. Realmente não importa, o que importa é o que essa pessoa procura transmitir, o conteúdo é importante.
Paul Roberts: você pode se apresentar ao público?
Barão von Aaarr: Sou conhecido como Cryptiya, tenho um blog WordPress e tenho escrito sobre LulzSec e Anonymous há algum tempo, para que eles saibam quem eu sou. Cruzei essa linha e disse a eles: “Você quer fazer as pessoas pararem de fazer coisas ruins? Ótimo! Então faça certo! Pare de fazer essa bobagem de injeção SQL e roube dados sem importância. O último depósito que você roubou continha um documento SPU confidencial, mas absolutamente nenhum, secreto que pode ser encontrado no Google!
Estude seu objetivo, descubra o que está fazendo. Em um dos meus últimos posts, escrevi: olha, a verdadeira sujeira vem dos insiders! Você sabe que tem documentos do Pentágono, tinha Garganta Profunda, agora também documentos de Manning. Você tem pessoas conhecedoras que têm acesso a coisas realmente muito, muito sujas, que decidem contar a poderosa verdade e trazer à luz essas informações importantes. Vi uma transcrição do caso Bradley Manning e cheguei à conclusão de que, por causa de toda a porcaria que ele passou, ele se tornou, em certa medida, uma pessoa mentalmente instável. Para ele, se tornar um militar, que ele considerava uma questão de sua vida, era uma má idéia, porque, por causa disso, ele estava sob uma tremenda pressão.
No entanto, a publicação de informações sobre crimes de guerra é muito importante, porque traz merdas acontecendo de superfície para superfície, revelando o que não sabemos. Isso nos permite ter certeza de que existe uma mentira nas relações entre os EUA e outros países, e simplesmente precisamos lidar com pessoas de quem não gostamos, essa é a natureza do jogo. Portanto, se você quiser encontrar sujeira, sempre a encontrará e a entregará aos jornais.
Isso é exatamente o que o WikiLeaks queria fazer e fazer antes que o culto de Julian Assange fosse criado muito rapidamente a partir disso.
Jericó: sim, publicar 250.000 telegramas secretos é muito legal, mas havia muito barulho por causa da publicação de documentos completamente sem importância. Seria muito melhor escolher entre eles os 50 mais significativos, revelando a vergonhosa essência do que está acontecendo, ou publicar algo como um "telegrama do dia". Não nego a importância dessa empresa, mas devo me concentrar na maior produção, em telegramas que contêm coisas realmente terríveis sobre as quais as pessoas deveriam aprender.
Barão von Aaarr: uma pergunta-chave: como você sabe que isso é sujeira real, não desinformação?
Jericó: De fato, sabemos como as empresas espalham informações erradas para prender o LulzSec e o Anonymous. Fomos alimentados com um monte de porcaria, e agora sabemos disso.
Paul Roberts: não vamos deixar HBGary sair do gancho!
Joshua Corman: Nós nos sentimos impotentes contra esse flash mob sem rosto sem nome, porque em vez de focar em um inimigo comum, lutamos um com o outro porque é exatamente isso que podemos.
É como o Efeito Streisand - quanto mais eles tentam intimidar Aaron, mais eles recebem atenção. 5 pessoas se aproximaram de mim e disseram: “Tente adivinhar quem será meu próximo alvo - HBGary”! Eu não o incito, mas as pessoas já estão pensando nisso.
Barão von Aaarr: e até persegue Ruffalo de chapéu preto para tirar uma foto de alguém que se disfarça de anônimo.
Paul Roberts: de olho em tudo o que aconteceu e levando em conta o que vem acontecendo nos grandes negócios há muitos anos, gostaria de perguntar se deveríamos concluir que, na realidade, nada do Anonymous aconteceu que levaria HBGary e Aaron Barra a atravessar que diabos?
Jericó: sim, acho que HBGary e Aaron Barr cruzaram a linha, mas para os negócios é uma ocorrência comum, e dezenas de empresas fazem isso. Muitas empresas que nem mesmo coletam informações ativamente e realizam inteligência industrial cometem erros éticos de qualquer maneira. Uma lista dessas porcarias pode ser ativada na tela por página por 10 minutos seguidos, e isso é apenas porque não temos a oportunidade de dedicar mais tempo a esta lição. Se você criar uma linha de atividade em tempo real das empresas com as quais cooperamos, acontece que todas elas no passado fizeram coisas obscuras, além disso, fizeram essas coisas nos últimos 3 meses.
Joshua Corman: Paul, como pessoa mais ligada à imprensa, pode nos dedicar aos detalhes do plano de ação que a HBGary iria propor à Câmara de Comércio?
Paul Roberts: graças ao ataque do Anonymous, ficou claro que a HBGary enviou uma carta ao escritório de advocacia Hunton & Williams com uma proposta sobre como destruir o WikiLeaks, primeiro lançando informações erradas e depois expondo-as. Esta proposta foi desenvolvida pela HBGary em colaboração com as empresas analíticas Palantir Technologies e Berico Technologies.
Como a Hunton & Williams também representava os interesses da Câmara de Comércio, a HBGary ofereceu a eles uma estratégia para destruir a US Chamber Watch, que se opõe à Câmara de Comércio. A operação deveria ser realizada de acordo com o tipo de estratégia do FUD, “desacreditando, confundindo, envergonhando” esse grupo e depois penetrando-o com o objetivo de destruição final. O significado da proposta foi baseado no fato de que a Câmara de Comércio é uma organização bastante corrupta e grupos como a USCW minaram a reputação de seus membros ao cobrir acordos de corrupção.
A HBGary usaria para isso as ferramentas desenvolvidas por Palantir e Berico, dados de código aberto, inteligência industrial. No entanto, eles não são o Ministério da Justiça e, mesmo que houvesse uma violação da lei do RICO, eles ainda não teriam o direito de processá-los. No entanto, foi com isso que eles procuraram Aaron e disseram que a HBGary precisava da ajuda da HBGary Federal, que liderava, para implementar seu plano.
Barão von Aaarr: Gostaria de lembrar a "Surpresa de Outubro" e algumas das coisas que Karl Rove revelou à sociedade, ou seja, quando uma pessoa do governo realmente se opôs ao governo.
Paul Roberts: Eu acho que a mídia não se enganou quando comprou uma interpretação anônima do conteúdo dessas cartas? Que sentimentos teríamos se houvesse alguma organização progressista de esquerda, Americanos pela Prosperidade e grupos semelhantes no lugar da Câmara de Comércio dos EUA? Quero dizer, quais eram nossos sentimentos se soubéssemos que pessoas completamente diferentes estavam por trás desses escritórios de advocacia? Aaron sempre dizia que faria isso por qualquer cliente que conhece, é claro, pela Câmara de Comércio, mas faria o mesmo por organizações como o Greenpeace ou a PETA.
Barão von Aaarr: isto é, ele é indiferente aos seus clientes.
Paul Roberts: sim, não importava para ele quem era seu cliente. Lá tudo foi decidido por dinheiro, não por sonhos. Então, a imprensa está errada?
Jericó: resumido, posso responder: sim e não. Você sabe, a imprensa é uma espécie de grupo lamacento, como o Anonymous, quero dizer que alguns jornalistas tentaram entender objetivamente esse assunto, e alguns estavam preocupados apenas com o componente sensacional do incidente.
Joshua Corman: Acho que Jericho está certo, quero dizer que 60 minutos de nossa discussão são uma notícia suficiente que cairá nas primeiras páginas dos jornais que lidam com investigações jornalísticas no outono. E, pessoalmente, receio que isso leve a várias manipulações da opinião pública, ao uso de métodos de engenharia social, porque a imprensa é uma ajuda significativa para o LulzSec ou AntiSec.
Vi também que, se você está tentando servir à imprensa como fonte de informações anônimas verdadeiras, do ponto de vista da engenharia social, ela não será necessariamente usada da maneira correta. Penso que agora na imprensa existe certo efeito assimétrico a favor do Anonymous, porque a imprensa não possui filtro, ou não há como usar os melhores jornalistas para cobrir essa questão, filtrando todos os demais no espaço de informações da mídia.
Paul Roberts: as organizações, quero dizer não apenas a Câmara de Comércio, têm o direito de se proteger de danos ou atividades ilegais da mesma maneira que os estados? Não vamos afirmar que os Estados Unidos têm direito a um ataque cibernético, mas as empresas têm esse direito?
Joshua Corman: é por isso que estou bravo com a HBGary e seus advogados que procuram remover Aaron do palco porque ele teve algumas perguntas muito quentes, alguns momentos realmente ótimos e agora, finalmente, havia uma chance de discutir abertamente o que é legal para proteger seu interesses próprios. Se alguém invadir fisicamente minha casa ou meu país, tenho o direito de matá-lo?
Praticamente não temos oportunidade de revidar pelo menos metade, de conduzir algum tipo de nossas próprias investigações, porque a legislação não acompanha a vida real. Gosto do componente de poder desse caso em particular, porque ele colocou uma vantagem com uma pergunta sobre a legalidade da greve de retaliação. A ausência de leis gera ambiguidade e, talvez, se você consultar o seu "advogado interno", poderá resolver essa ambiguidade pelo menos por si mesmo. Não podemos resistir a esses ataques usando apenas defesa passiva, caso contrário, seremos apenas chutados na bunda.
Barão von Aaarr: Outros estados têm regras que eles criaram para as corporações. Eles atribuíram às empresas o status de uma única entidade física, o que permite que elas sejam consideradas como uma pessoa. Digamos todos esses casos que foram julgados recentemente pelo Supremo Tribunal. Suponha que alguém, como pessoa física, tenha hackeado você e, em resposta, você tenha hackeado e sido pego. Se você diz: "eles me atacaram, eu os ataquei em resposta - qual é o problema aqui?", Tentando aplicar algo como a lei medieval virtual Castle Low ("Doutrina da fortaleza"), isso não funcionará. Então eu acho - não, eles não têm o direito de fazê-lo.
Joshua Corman: Vejamos contramedidas ofensivas. Eles não são legais, mas poderíamos passar da defesa pura para algum tipo de ação ativa se tivéssemos algum tipo de cobertura legal, algum tipo de legalização de medidas de retaliação, o que nos permite avançar um pouco mais para garantir a segurança.
: , – A&Q, «», tpanel . : , Anonymous , , ?
, , Anonymous, , Anonymous?
: , , .
: . , , .
: , . Anonymous LulzSec . , - , , . , . : LulzSec , : «, »!
, , , Anonymous LulzSec , , , , , , , .
: , , , , . , , . , - , - . , . , Anonymous, , .
: , Anonymous , , . , .
: Anonymous, , – , .
: , , , , Anonymous. , , , , , , , . , Anonymous , .
Bem, este é o fim de nossa discussão, agradeço a todos que vieram aqui e agora você pode ir para a nossa sala de perguntas e respostas.Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um
desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps da US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 núcleos) 10 GB DDR4 240 GB SSD de 1 Gbps até a primavera, gratuitamente, ao pagar por meio ano, você pode fazer o pedido
aqui .
Dell R730xd 2 vezes mais barato? Somente nós temos
2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?