OHM2013: Kempujúci hackeri

26. augusta 2013

sugestívne video pred konferenciou sa snažilo presvedčiť divákov, že hackerské kempy sú holandskou tradíciou rovnako ako tulipány, veterné mlyny, syr Gouda alebo drevené topánky. Od roku 1989 sa v Holandsku každé štyri roky stretávajú hackeri v tradičnom holandskom štýle — na kempingu. Predstavte si to ako Pohodu, na ktorej miesto koncertov nájdete prednášky, namiesto väčšiny stánkov s jedlom predstaviteľov jednotlivých hackerspaceov a rôzne zaujímavé atrakcie. V noci sa kemp premení na blikajúce mesto, v ktorom hackeri chcú dokázať, že obraz hackera ako intelektuálneho samotára je čisté klišé.

2013-08-25-ohm2013-hackers-are-camping-ohmlogo

Slovenská výprava sa zbiera v Amsterdame niekoľko dní, všetci si chcú pozrieť miestne atrakcie: Red Light District, dať si pivo vo veternom mlyne a bicyklovať sa. Mnohí z nás volia cestu bicyklom aj z najbližšej stanice. Privíta nás konečne typické holandské počasie – počas cesty začne poriadne pršať. Premoknutí prichádzame do nášho Progressbar stanu, kde sa pomaly Laila ako hlavná zdobička zhosťuje výzdoby. Ostatní si staviame stany – vo vnútri centrálneho stanu a zakladáme česko-slovenskú dedinu. Geografia je zachovaná aspoň relatívne, pretože kúsok od nás má dedinu viedenský Metalab, charakterizovaný telefónnou búdkou napojenou na kempovú telefónnu sieť. Brmlab z Prahy je o čosi ďalej, ale stále blízko.

Neoficiálnou, ale hlavnou témou OHM2013 je zjavná asymetria medzi ľudskou túžbou po súkromí a veľkými organizáciami na čele s NSA a operátormi najväčších služieb, ktoré chcú dáta užívateľov používať na iné ciele. Proklamovaný cieľ NSA je ochrana pred teroristami, aj keď skutočnosť je podľa všetkého výrazne iná. Podľa posledných informácií NSA poskytuje odchytené osobné komunikácie dokonca aj na bežné vyšetrovanie DEA. Cieľom “technologických” gigantov ako Google, Facebook a Yahoo je to, aby slúžili svojim zákazníkom — zadávateľom reklamy. Takýmto spôsobom dokážu zvýšiť ceny reklamy a umožniť lepšie cielenie. Ľudia si začínajú uvedomovať, že pre tieto firmy nie sú zákazníkom, ale produktom. V podobnom duchu sa niesla prednáška Juliana Assange-a. Vystúpil zo svojho “azylu” na ekvádorskej ambasáde v Londýne cez Skype. Jérémie Zimmermann, zakladateľ organizácie La Quadrature du Net, ktorá v európe bojuje za práva užívateľov na súkromie mu povedal: “Julian, veľmi si želám, aby si tu mohol byť s nami. Je to tu nádherné, množstvá farebných svetiel v noci. Chýbaš nám.” Atmosféra bola nostalgická, keďže práve pred štyrmi rokmi mal jedno z hlavných vystúpení o svojom projekte Wikileaks práve na tejto akcii. Julian Assange toho veľa nepovedal, ale jednu novú vec sme sa predsa dozvedeli – podľa neho to nie je tak, že štáty nútia firmy, aby posielali dáta tajným agentúram a tie sa zubami-nechtami bránia, ale nakoniec sa podvolia. Technologickí giganti a NSA sú v jednej posteli. Ako príklad uviedol návštevu od Erica Schmidta z Googlu, ktorý prišiel s niekoľkými zástupcami štátnej moci, aby mu dohovorili.

Tzv. “Spook Panel”, ktorý sa skladal z bývalých agentov a kontraktorov NSA, CIA, americkej prokuratúry a MI5 nám vysvetlil ako funguje špionážny systém. Dochádza k obrovskej výmene informácií medzi agentúrami. Keďže NSA oficiálne nemôže odpočúvať američanov, jednoducho outsourcuje túto časť aktivity na svojich partnerov, ktorí výmenou dostávajú informácie, ktoré zachytia americké sondy. Analytik agentúry vidí pri ľuďoch e-maily, rozhovory na sociálnych sieťach, browsing históriu, metadáta o telefónnych hovoroch (dátum, čas volania a volané číslo), či SWIFT prevody alebo kartové transakcie. Pri každom pokuse získať informácie musí napísať zdôvodnenie, to sa však síce archivuje, ale nikto ho nečíta.

Okrem politických tém tu boli aj čisto technické. Philippe Langlois začal obľúbenou témou hackerov — hackovaním telekomunikačnej infraštruktúry. Telekomunikačný trh známy svojou uzavretosťou a prekomplikovanosťou riešení a protokolov je obľúbeným terčom hackerov, pretože uzavreté komplikované systémy obsahujú v sebe väčšinou mnoho chýb. Phillipova prednáška si zobrala za cieľ Home Location Registry systémy mobilných operátorov. HLR je centrálna databáza užívateľov a informácií o nich. Každé prihlásenie do siete, či už v domácej alebo roamingovej sieti je overované týmto systémom. Obsahuje najcitlivejšie údaje, ktoré operátor ukladá o svojich užívateľov. A je to takmer vždy obrovský, zložitý systém polepený z rôzne starých komponentov. Niet sa čo čudovať, že nájdenie bezpečnostnej diery nie je taký zásadný problém. Ale nikto by takéto systémy nezabudol ochrániť firewallom a už vôbec nikto by ich nezavesil nefiltrované na Internet, však? Omyl – niekoľko mobilných operátorov s aktívnymi miliónmi užívateľov má tento najdôležitejší systém, ktorý prevádzkujú, vyvesený na Internete.

Karsten Nohl pokračoval vo svojich hackoch mobilných technológií a tentoraz sa zameral na SIM karty. Našiel zraniteľnosť v podpisovaní firmware SIM karty, ktorý umožňuje pri napadnutých SIM kartách kompletné vzdialené klonovanie, zistenie polohy užívateľa, či zatelefonovanie na útočníkom zadané telefónne číslo. Efektívne dokáže takýmto spôsobom útočník premeniť telefónny prístroj s napadnuteľnou SIM kartou na plošticu, ktorá odpočúva nie len čo hovoríte, ale aj kde sa nachádzate. Naši mobilní operátori vyhlásili, že ich SIM karty nie sú zraniteľné – minimálne tie naše, ktoré sme skúšali naozaj neboli, ale treba si uvedomiť, že operátori typ SIM kariet v čase obmieňajú podľa dostupnosti technológií. Je teda dosť možné, že nie všetky SIM karty, ktoré operátor kedy vydal budú proti tomuto typu útoku imúnne.

2013-08-25-ohm2013-hackers-are-camping-night

Rovnako ako pri iných kempoch podobného typu je často oveľa zábavnejšie a zaujímavejšie to, čo sa deje mimo oficiálneho programu. Workshopy, demonštrácie technológií a tanečné parkety nám dali možno aj viac ako samotné prednášky. Možnosť stretnúť sa so zaujímavými ľuďmi z rôznych oblastí vedy, techniky a umenia je takmer neoceniteľná. A najväčšie prekvapenie? Lietajúci pštroš. Že pštrosi nelietajú? To je pravda, ale keď sa ich vnútro vymení za motor a pridajú sa vrtule, dokáže letieť aj pštros. Videli sme to na vlastné oči.





Prevadzka-serverov-digmia
Prevádzka serverov nie je komodita

Mnoho vývojárov považuje hosting a servery za komoditu. Je to niečo, čo si kúpia od spoločnosti poskytujúcej datacentrum alebo rôzne formy virtualizácie, prípadne platformy ako služby....

Pokus s internou minikonferenciou

Rozhodli sme sa v našej firme vyskúšať formu “minikonferencie” Open Space Technology. Jedná sa o formát samoorganizujúcej sa konferencie, kdeČítajte ďalej

cgroups a Bitcoin

cgroups Cgroups je technológia na riadenie zdrojov v Linuxe. Umožňuje prioritizovať a garantovať systémové prostriedky. Slajdy z prednášky cgroups nájdeteČítajte ďalej