Conference on Cyber Conflicts, Cooperative Cyber Defense Center Of Excellence NATO, Tallinn, Estónsko

29.06.2010 01:32 | k0fein

V dňoch 15. až 18. júna sa uskutočnila konferencia, o "kybernetických konfliktoch". V tomto článku Vám trochu priblížim o čom to bolo a pridám pár svojich úvah (ktoré dopredu označím, aby nedošlo k nedorozumeniu, že ide o výsledok z konferencie).

Podujatie bolo druhým od vzniku centra. Nadväzuje na výsledky predošlej konferencie a "výskumu" v oblasti kybernetickej vojny a ochrany voči vojenským konfliktom na internete. Okrem prehľadu samotného podujatia v závere popíšem trocha aj o výsledkoch z minulého roku, ktoré sú uvedené v zborníku.

Informácie o existencii tohoto centra som objavil asi tak pred rokom. Vymenil som si s nimi 2 maily, ktoré vyústili do pozvania na túto konferenciu a kúpy zborníku z ich predošlého roku. Skôr, než sa pustím do toho čo všetko som videl a zažil, priblížim trochu toto centrum aby som načrtol o čo ide.

CCD COE vzniklo (lepšie by bolo asi napísať, že velenie NATO odsúhlasilo fungovanie tohoto centra) v roku 2006. Hlavnou úlohou je (viac na ich stránke) poskytovať poradenské služby pre NATO, vývoj a výskum, zdielanie informácií a pod. Tieto služby, výskum, a.t.ď sa týkajú bezpečnosti vojenských, vládnych a dôležitých inštitúcií z pohľadu internetu, siete ako takej a prvkov infraštruktúry (firewally, routre, samotné počítače). Napriek tomu, že sú vysledky centra (konkrétne mám na mysli výsledky výskumu a vývoja) utajené, centrum zvolilo veľmi sympatickú cestu kooperácie medzi vládnym, vojenským a akademickým svetom, aby dali "spoločne hlavy dokopy". Má v súčasnosti sedem členských krajín, medzi ktorými je aj Slovensko. V rámci konferencie som mal možnosť pozrieť sa do areálu CCD COE a vypočuť si, ako taký výskum vyzerá. Plukovník Tamm priblížil operáciu Blatic Cyber Shield. Išlo o test pripravenosti vybraných inštitúcií vo Švédsku. Prebiehalo to tak, že boli dva tímy - červený a modrý. Červení sa snažili dostať do sietí a zariadení modrých a modrí sa snažili zabrániť tomu. Aby to náhodou nevyzeralo ako obyčajná hra, na strane modrých boli vytvorené modely (krabička s prskavkou) založené na existujúcich SCADA systémoch a nechýbala samozrejme príslušná infraštruktúra v podobe firewallov, demilitarizovanej zóny, intrusion detection systems a iných prvkoch ktoré možno (+/-) bežne nájsť v prevádzke akýchkoľvek centier (vládnych, súkromných, vojenských...). Čiže bola naozaj snaha priblížiť sa realite. Ak hacker z červeného tímu prenikol až k zariadeniu s prskavkou, ktoré modelovalo napríklad elektráreň, mohol ju vyhodiť do vzduchu (odpáliť prskavku) a aj sa to v niektorých prípadoch podarilo. Napriek peknej realizácii však musím konštatovať, že nejde o nič super extra nové. Je kopec, nazvime ich, "underground" skupín hackerov, black hatov a ja neviem koho ešte, ktoré si organizujú svoje stretnutia a robia tam úplne toto isté (s viac, či menej reálnym prostredím) s tou výnimkou, že sa nezameriavajú na vojenské a vládne ciele, pretože ich zaujíma viac technológia prieniku, než cieľ ako taký.

Okrem testovania možností útoku a obrany prípadných cieľov na sieti (hovorím o sieti ako takej, nielen o internete - keďže vírus môžete doniesť do separátnej siete aj na USB kľúči), sa centrum zaoberá aj otázkami legislatívy a strategického využitia prostriedkov útoku (0day, botnet, mallware, sociálne inžinierstvo, a.t.d) a možnej obrany. Legislatíva súvisí jednak s definovaním pojmu "kybernetický" útok na krajinu, jeho rozoznanie, s identifikovaním útočníka, jeho zámermi a jednak s právnymi krokmi, ktoré by NATO (presnejšie členský štát) malo (mohlo) podniknúť, aby sa takémuto útoku vyhlo (napr. regularizácia internetu, zakázanie silného šifrovania a pod.). Strategické hľadisko sa týka pochopenia existujúcich prostriedkov k útoku a to ako ich využiť na dosiahnutie "víťazstva". Jeden zo záverov konferencie z minulého roku (na základe spomínanej knižky) je, že samotný internet, prípadne počítačová sieť ako taká neposkytuje dostatočné prostriedky na to, aby bola krajina vyradená a porazená, no môže ju ochromiť dosť na to, aby bol následný reálny útok jednoduchý rýchly a takmer bez strát na strane útočníka.

Úvodnú reč mal plukovník Tamm. Samotná konferencia bola rozdelená na tri časti. Ja som sa zúčastnil na prednáškach z technologickej časti. Napriek tomu, že nie som hacker, ani nie som nejako extra vzdelaný v oblasti penetračných testov, písania exploitov ani identifikácie bugov a myslím si, že som taký priemerný človek čo sa zaujíma o problematiku, tak napriek tomuto musím konštatovať, že som sa na tej konferencii z technického hladiska nič nové nedozvedel. Všetky preukázané postupy a fakty sú v kuloároch známe a hocikto, kto číta veci ako napr. prielom, root.cz, itnews, dsl.sk, slashdot.org a pod. sa k týmto informáciám ľahko dostane (a to som ani nespomenul napr. Zero For 0wned alebo phrack). Takže nečakajte nejaké uber 1337 h4x0r veci, skôr zopakovanie si toho, čo už viete. Zaujímavejšie však bolo vidieť trend v používaní bezpečnostných dier (čo opäť nie je nič super tajné, stačí ísť napríklad na stránku OWASP a pozrieť si Top Ten) a produktov, ktorých sa to týka.

  Prvý deň začal prednáškou z M$ o tom ako sa vyvíjali shellcode-y v existujúcich formátoch MS a že Micro$oft už v podstate s nástupom XP začal (konečne) klásť trochu väčší dôraz na bezpečnosť. Tento fakt bol vyzdvihnutý v druhej prednáške o "stave internetu v roku 2010" a to tým, že na pie-chart grafe boli chyby MS na ústupe a dominoval Acrobat Reader. Taktiež bolo povedané - ako sa dalo čakať (pozn. autora) - že budúcnosti budú dominovať mobilné zariadenia a že sa dá očakávať zvýšená snaha o ich hacknutie. S mobilnýmí zariadeniami (ala <niečo>phone) je to však o niečo lepšie, pretože pri ich návrhu sa už akosi automaticky počítalo s "bezpečnosťou". Tým sa myslí, že je v nich implementovaný jail pre skripty a executable súbory, nainštalovať môžete len programy schválené vendorom a ak chcete predsalen niečo nainštalovať na vlastnú päsť, tak ste upozornení. Toto je rozdiel s (napríklad) PC platformou, kde si človek donedávna mohol bez upozornenia nainštalovať čo chcel (M$) a že až relatívne nedávna začali prehliadače prichádzať s kontrolou skriptov a ich spúšťanie v "bezpečnej zóne". A keď už sme pritom, tak sa to dá aj dnes. Keďže prednášku viedli ľudia z M$, bola z toho cítiť jemne cielená reklama, ale tak, niektoré veci na tejto planéte sa asi nezmenia.

    Ďalšou zaujímavou prednáškou v prvý deň bola prednáška pána Haroon Meer-a. Zaoberá sa profesionálne penetračnými testami a povedal, že nie je problém nájsť človeka (skupinu ľudí) čo si vezme soft a jednoducho nájde bug ktorý sa dá exploitnuť (čo zase nie je až také nečakané). Ako príklad uviedol človeka s menom Tavis Ormandy. Človek, ktorému jednoducho dáte soft a on je schopný Vám v dohľadnej dobe nájsť exploitnuteľný bug. Taktiež ukázal zaujímavý hack. Princíp je jednoduchý a pekný. Občas sa človeku podarí vykonať príkaz na vzdialenom počítači, no výstup sa k nemu nedostane naspäť (v ukážke bol použitý ako príklad regular expression injection). Otázka znie ako dostat výstup z cieľa ku nám. Finta bola v tom, že po vykonaní príkazu, môžem výstup zmeniť na ASCII hodnotu a čakať príslušný počet sekúnd. On ukázal lepšiu verziu, kde netrebalo čakať ťak dlho. Previedol znak na binárnu podobu a v prípade 0 nečakal nič a v prípade 1 čakal sekundu. Dá sa povedať, že to robil zbytočne, veď si mohol - ak vedel vykonať príkaz, nainštalovať backdoor, spustiť exploit - čokoľvek. Áno, toto človek naozaj môže, ale až potom keď má informácie o tom čomu čelí (operačný systém, verzia jadra, patche, topológia siete,...) no a tieto informácie sa nejako získať musia (ak to nejde ukecanosťou služieb). Taktiež podotkol, že skutoční profesionáli nerobia nič unáhlene a pri sledovaní konkrétneho cieľa vedia byť veľmi trpezliví. Poslednú z vecí ktoré spomenul bolo, že pre neho nie je problém zostaviť skupinu ľudí, ktorá by v dohľadnej dobe prerazila skoro čokoľvek (vrátane izolovaných sietí, ktoré nie sú priamo pripojené na internet).

Druhý deň začal úvodom od pani Melissy Hathaway (prakticky poradkyňa prezidenta USA v oblasti kybernetickej bezpečnosti). Prešla postupne všetkými väčšimi a menšími konfliktami s ktorými sa USA ako aj západný svet stretol (kukučie vajce, útoky voči Estónsku po zavedení eGovernmentu, fakt že v sieti elektrární USA bola "logická bomba" - bug v software-i, čo ich spravoval, ktorý ak by bol exploitnutý, mohol vyradiť tretinu elektrární USA). Kládla nesmierny dôraz na nutnosť ochrany a uvedomenie si reálneho rizika, ktoré bezprostredne hrozí v dôsledku nedbalosti o bezpečnosť kľúčových prvkov štátu. Vyzdvihla (čo mne išlo dosť proti srsti) pozitívum regularizácie internetu v USA a možnosť kontroly inernetových liniek. (pozn autora: možno sa mýlim, no vo mne regularizácia evokuje neschopnosť riešiť problém a nepochopenie jeho podstaty). Po prednáške som sa tejto pani opýtal, či je článok 4 a 5 zmluvy NATO medzi členskými štátmi v platnosti aj v oblasti kyber priestoru. Odpovedala - áno, samozrejme. (v skratke - ak sa niečo zomelie, tak si to navzájom medzi sebou povedia a zároveň budú spoločne postupovať proti útočníkovi)

          Z prednášok sa mi najviac páčili dve - prvú mal Chris Evans z Googlu (hlavne) o bezpečnosti webových prehliadačov a nových prvkoch ktoré sa v nich objavujú (vykonávanie skriptov v extra chránenej časti pamäte) a druhú mal pán Charlie Miller (3 x za sebou vyhral súťaž pwnd2own. Charlie Miller mal prednášku o tom ako by sa dala zostaviť skupina ľudí, ktorá by doviedla kybernetickú vojnu od začiatku do víťazného konca. Hovoril o botnetoch - mimochodom veľmi často omielané slovo spolu s DDoS, o ich velkostiach, cenách a dostupnosti. Navrhol (chápte to tak, že ho požiadali aby prišiel s návrhom ako by sa to dalo spraviť) zoznam profesií, ktoré by trebalo obsadiť (programátori na exploity, hackeri na aplikovanie exploitov a vytváranie botnetu (podľa možnosti tak cca 100x vačšieho ako najväčší verejne známy ZeuS s 3,6 mil. počítačov), ľudí na spravovanie botnetu, ľudí na infiltráciu do inštitúcií a identifikáciu cieľov a pod. Ukázal, aké je v skutočnosti jednoduché pre človeka, čo vie o čom hovorí, vytvoriť takýto tím. Zároveň tým predviedol, čomu zrejme štáty budú musieť čeliť. (pozn autora - opäť, bolo to pekné a predvídateľné, postavené na dávno známych a overených praktikách, takže v tom netreba hľadať niečo magické. Koniec koncov načo aj ? Ak niekoho odstavím palicou, načo do neho páliť gulometom ?)

Posledný deň prednášok začal pán Bruce Schneier (kryptografia). Jeho zahajujúca prednáška bola protipólom ostrému (povedal by som až mierne agresívnemu) prístupu pani Hathaway. Hovoril totiž o tom, že sme denno-denne vystavení útokom a ani o tom nevieme. Nedokážeme s istotou ani len identifikovať útočníka a len s ťažkosťami rozoznať či ide o cielený a pripravovný útok nejakého štátu, alebo sa pár ľudí baví. Preto povedal, že síce sú obavy a investície do zlepšenia situácie na mieste, no strach a panika, ktorú by mohli informácie o hypotetickej zraniteľnosti systémov vyvolať, nie.

Čo sa týka prednášok, v posledný deň odzneli tri - o "modelovaní" výdavkov na ochranu pred útokmi, o simulácii botnetov a ochrany proti útokom založeným na tejto sieti a poslednou bola prednáška o skúsenostiach Litvy s internetizáciou a kybernetickými útokmi.

Ako som spomenul v úvode, na konci poviem ešte pár slov o zborníku z minulého roka. Cieľom bola evidentná snaha zachytiť pojmy ako "kyberpriestor", "kyberentická vojna", "kybernetická superveľmoc", "kybernetický konflikt" a po ich definovaní aj pochopenie vedenia takýchto konfliktov. Napríklad jednou z teórií je prirovnanie internetu a možnosti využitie prieniku do sietí druhého štátu (obzvlášt v krajinách s vysokou integráciou internetu do behu samotného štátu) k vlastneniu jadrových zbraní a k filozofii vzájomného zničenie (Mutual Assured Destruction), t.j. konflikt nenastane, pretože sú si obe krajiny vedomé toho, že by prípadný odvetný úder znamenal ich vlastné zničenie. Tento prístup bol v ďalšom referáte od inej skupiny ľudí zavrhnutý ako neaplikovateľný na prostredie internetu. Všetci sa však zhodli na tom, že prípadný internetový útok, nedokáže zničiť krajinu v zmysle vojenskej kapitulácie. Dokáže ju ochromiť na určitý čas, ale to je asi tak všetko. Takže zo strategického hladiska je to len jedna z možných "zbraní" ktorá má svoje výhody aj nevýhody.

Na úplný záver dodám snáď len to, že je táto konferencia prístupná každému. Nemusel som ísť na žiadne špeciálne previerky a knihy sú k dostaniu. Domnievam sa, že je to preto, lebo "zlí chlapci" naozaj sú o krok vpred a je zbytočné niečo tajiť, keď aj tak je už všetko dávno vonku. Na druhej strane treba priznať, že sa najsilnejšia vojenská aliancia na planéte začala vážne pozerať na internet a počítačové siete. Je otázne či to povedie k niečomu dobrému alebo nie. Forma v akej je to teraz je v poriadku a myslím si, že je aj potrebná. Prirodzene na konferencii toho odznelo podstatne viac a tento článok je už aj tak dlhší než som chcel, takže to tu stopnem s tým že to bola skvelá skúsenosť a neľutujem ani halier, čo som za to dal.

    • Re: Conference on Cyber Conflicts, Cooperative Cyber Defense... 01.07.2010 | 17:19
      Avatar blackhole_srnec   Používateľ

      Pekne zhrnutie bezzubej konferencie. Uvidime ci takato medzinarodna sumarizacia vedomosti dokope zodpovednych na zmenu, minimalne hesla 123.... Verim ze podobne prusery sa nestavaju iba v slovakiastane.

      +++
      • Re: Conference on Cyber Conflicts, Cooperative Cyber Defense... 01.07.2010 | 23:57
        Avatar k0fein   Používateľ

        tvoj komment je sice pravdivy no je hlavne politicky (podla mna).

        vec ma dve hladiska.
        1) profesionalne:
        ked zodpovedni zacnu byt zodpovedni A ak spolocnost zacne objektivne posudzovat ich kroky, tak sa to zmeni...

        pokial sa kazdy bude snazit dostat na stolicku a ostat tam a snazit sa udrzat si tvar tak sa nezmeni nic. Neviem nakolko je politika odrazom spolocnosti v ktorej zijeme, no ja sa bezne stretavam s ludmi ktori si vymyslia hocijaku blbost a su schopni zvalit stagnaciu a neprofesionalitu na hocico len aby si nebodaj snad niekto nepomyslel ze oni spravili chybu (tu len poznamka, ze ludi co ti budu hovorit ze robis veci zle je vela a nie kazda kritika je objektivna). V pripade politiky a vlastne hocijakej institucie platenej z dani ludi to plati dvojnasobne. Musia si drzat image za kazdu cenu pretoze 1 chyba moze znamenat pad. Na druhej strane spolocnost je leniva a nema zaujem objektivne posudzovat co sa stalo (a to ani nehovorim o tom, ze je nainva a nevie o com hovori). Ved do kelu to patri k profesionalite ze sa ucim na vlastnych chybach (a na chybach druhych). Nepoznam cloveka co je fakt dobry a aspon raz v zivote neurobil mega fail chybu. To proste nejde. Preto je obraz toho, ze politik (a v podstate hocikto) nemoze robit chyby uplne zly. No a to, co som hovoril uz niekolko krat - chciet zmenu a realne ju urobit musi spolocnost. Ziadni cesi/rakusania/madari/poliaci/americania/nemci a co javiem kto este nam sem poriadok robit nepridu. Tvrdime o krajine ze je nasa, tak sa o nu starajme. Tvrdime, ze v nej chceme slobodu a normalne podmienky - tak sa tak chovajme. Nikto - opakujem NIKTO iny to za nas neurobi. Pozri si napriklad comment k newske - progressbar.sk tu na blackhole. Ze nieco take nie je na vychode - no a ani nebude. Bud si to ludia z vychodu spravia (a ja im drzim palce a dufam ze im to vyjde) alebo to mat nebudu. Na to nepotrebuje nikto 3 vysoke skoly aby pochopil ze bez toho aby to niekto spravil to nebude. Bratislava ma to stastie ze tu ludia mali ochotu ist dotoho (a nepochybujem o tom, ze ak by to bolo naopak, ze na vychode nieco take je a v BA nie, tak by sa niekto z BA ozval ze preco to v BA nie je).

        to co sa stalo v NBU a reakcia Kalinaka je nadhernou ukazkou toho ako si clovek co nema najmensiu predstavu o tom co hovori snazil uchovat tvar a odsunul problem zo "sme kokoti lebo jebeme na zakladne bezpecnostne pravidla" na "neznami skilled hackeri nam naburali nase bezpecnostne systemy ktore su inak na najspickovejsej urovni".

        2) pravne:
        pravny stat nie je moralny stat.To jest strucne a jasne: pravo != moralka. Ak je protipravne nalogovat sa do systemu institucie XY a niekto to urobi tak musi celit zakonom. jednoducho povedane, ak by bolo nelegalne hybat prstami tak je clovek vinny ak nimi pohne. No a sudcu absurdita zakona zaujimat nemoze (pri posudzovani zavaznosti trestneho cinu). On moze (po priznani sa dotycnych, ze vec spachali) maximalne tak skumat polahcujuce okolnosti. Nic viac. (a opat, je na spolocnosti aby boli zakony pod drobnohladom a boli v sulade s moralkou)

        Toto co som napisal je prirodzene idealny pripad. To jest moja predstava toho ako by to mala byt je len velmi tazko realizovatelna, pretoze to by kazdy musel byt odbornik na vsetko a este k tomu aj do prace chodit. Aby som nebol ako ostatni co len poukazuju na fakt a nenavrhnu riesenie, tak by som to riesil tak ze by som sa snazil cez dostupne prostriedky vstepit jednak pocit vlastnickeho prava k veciam mladym ludom a detom a jednak zodpovednost za svoj zivot. Ti ktori su uz dospeli a cosi si odzili, tych uz nezmenime. Preto si myslim ze sa treba zamerat na mladych. Ludia musia pochopit, ze ked sa na veci vyseru tak sa to proti nim obrati. Ludia musia dostat vnutorny pocit ze chovat sa normalne voci ostatnym a respektovat ich je presne to ako to chceme robit. Ludia sa musia naucit, ze ked spravia nieco na hovno, tak sa to skor ci neskor dojebe. No a nakoniec, ludia by sa mali starat hlavne o seba a potom o druhych.

        ...ach k0fein, k0fein... zas reakcia na 1/2 strany...

        k0fein
        /* no comment */

        major_kusanagi /* no comment */
    • Narizeni 13.07.2010 | 19:38
      Avatar Alexej   Používateľ

      Otazka zni:
      Muze NATO(USA) nejakym zpusobem naridit regulovani a kontrolu internetu clenskych krajin ?
      Nebo muze pouze "doporucit" nejaky obdobne totalitni pristup ?

      ---- -_ _-_- _-_ _ ---- - -__- -_-- -_ _- - _

      ---- -_ _-_- _-_ _ ---- - -__- -_-- -_ _- - _
      • Re: Narizeni 14.07.2010 | 16:52
        Avatar k0fein   Používateľ

        nariadit nemoze. Je to plne v kompetencii krajiny ako zareaguje na potencionalny utok (co je prakticky picovina pretoze ak uz chces dat nieco dole tak to robis pomaly a potichu tak aby si to nikto nevsimol a nie jak velka voda ze jeeeb, ale tak to je vedlajsie)

        co sa moze stat je, ze dotknute stroje poslu niekam na expertizu, pripadne si vymenia informacie o moznostiach utokov/obrany a pripadnych IP pre blacklist (to je clanok cislo 4 tusim)

        a nie som si celkom isty ako si vysvetlit clanok cislo 5. jedine ze ak bude utok na krajinu tak cez mozno clenske staty poskytnu backup a reroutnu cas doleziteho trafficu krajiny cez inu (ale to je len moj dohad) a na druhej strane ak bude NATO utocit tak clenske staty pouziju svoje zdroje na este vacsi DDoS

        k0fein
        /* no comment */

        major_kusanagi /* no comment */