Kokemuksia Black Hat - ja Defcon-tietoturvakonferensseista

Osallistuin elokuussa Nixun edustajana maailman suurimpiin tietoturva-alan tapahtumiin Las Vegasissa: Black Hat USA 2015 ja Defcon 23. Black Hat on näistä kahdesta osallistujamäärältään pienempi ja selvästi kaupallisempi tapahtuma. Tilaisuudessa on erittäin laaja ohjelma, joten osallistuja joutuu priorisoimaan rankasti mihin kaikkeen aikoo aikansa käyttää, sillä kaikkea ei ehdi näkemään. Onneksi esitysmateriaalit, white paperit ja jopa monet esityksistä on julkaistu kaikkien saataville niin YouTubessa kuin Black Hatin omilla sivuillakin. Suosittelen katsomaan esitysaiheet läpi ja perehtymään mielenkiintoisiin aiheisiin esim. white papereiden tai esitysmateriaalien kautta.

Tämänvuotinen seminaari keskittyi mm. yksityisyyden suojaan ja Internetin vapauteen, johon esim. meneillään oleva Crypto Wars liittyy. Keynote-esityksen piti tunnettu hakkereitakin puolustanut juristi nimeltä Jennifer Granick. Hän kertoi miten Internet on muuttunut regulaation ja seurannan takia ja spekuloi, onko Internet jatkossa yhtä kontrolloitu media kuin televisio. Tämän kehityssuunnan voi tietysti nähdä pahana tai hyvänä asiana, mutta ainakin itse allekirjoitan esityksen pitäjän huolen asiassa ja näen nykyisen suuntauksen pääasiassa negatiivisena. Esityksessä kerrottiin myös mielenkiintoisia anekdootteja Internetin alkuajoista ja hakkeriliikkeen synnystä. Esityksen voi katsoa täältä (YouTube 1h11m). Vaikka monet seminaarin aiheet siis pyörivät vahvasti Edward Snowdenin käynnistämän yksityisyys vastaan valvonta -keskustelun ympärillä, itse Snowdenia henkilönä ei esityksissä yleensä mainittu.

Jeepin hakkerointi ja paljon muuta

Toinen vahvasti esiinnyt noussut teema oli fyysisen maailman hakkerointi, eli teolliseen Internetiin liittyvät asiat ja erityisesti autojen hakkerointi. Charlie Miller ja Chris Valasek pitivät viihdyttävän esityksen Jeepin hakkeroinnista; tapaus joka lopulta johti yli miljoonan auton takaisinkutsuun. Tapauksesta voi oppia ainakin kaksi asiaa: sen, että kaksi toisistaan erotettua järjestelmää voi todellisuudessa olla kytketty toisiinsa sekä sen, että järjestelmää ei koskaan pitäisi kutsua murtovarmaksi ellei halua näyttää hölmöltä mediassa. Lisäksi tietysti takaisinkutsu aiheuttaa huomattavat kustannukset ja tapaus vaikutti myös yrityksen pörssikurssiin. Esitys on katsottavissa mm. YouTubessa ja asiaan liittyvää uutisointia voi lukea esimerkiksi täältä.

Autojen lisäksi myös muu teollinen Internet ja siihen liittyvät tietoturvariskit olivat hyvin esillä: miten aiheuttaa vahinkoa tuotantolaitosten prosesseille esimerkiksi lisäämällä putkissa vaikuttavaa painetta ja miten hyökätä kokonaisen kaupungin infrastruktuuria vastaan. Kun kävin läpi kaikki esitykset suunnitellakseni oman agendani, huomasin, että Androidiin liittyviä esityksiä oli paljon, noin kymmenisen kappaletta. Android on siis edelleen kiinnostava kohde tutkijoille ja tutkittavaa tuntuu riittävän.

Yhden erityisen hyvistä esityksistä piti CloudFlaren toimitusjohtaja, Matthew Prince. Käytännössä CloudFlare tarjoaa asiakkailleen niin sanotun reverse proxyn, joka suojaa asiakkaan verkkosivustoja mm. palvelunestohyökkäyksiä vastaan. Koska perussuojauksen saa ilmaiseksi, niin myös monet harmaalla alueella liikkuvat tahot ovat hakeneet suojaa CloudFlaren palvelusta (hakkeriryhmät, seuranhakupalvelut jne.). Tästä ovat vuorostaan pahoittaneet mielensä toiset asiakkaat sekä muut sellaiset tahot, joilla on tapana pahoittaa mielensä erinäisistä syistä, kuten toisten dinosaurusfantasioista.

Mielensäpahoittajat aiheuttivat CloudFlarelle ongelman. Kenellä pitäisi olla oikeus päättää, mitkä sivustot ovat sallittuja ja mitkä taas kiellettyjä? Ongelma ratkaistiin lopulta varsin onnistuneesti: sivustot poistetaan palvelun piiristä ainoastaan oikeuden päätöksellä ja vastaavasti erityissuojelua tarjotaan sellaisille sivustoille, joita tukee jokin ennalta määritetyistä kansalaisjärjestöistä, kuten EFF (Suomessa vastaava taho voisi olla Effi). Vastaavaa mallia toivoisi muidenkin käyttävän.

Kahden päivän Black Hat -esitysten jälkeen oli aika siirtyä seuraavaan konferenssiin, eli Defconiin. Defcon on enemmänkin hakkeri- ja harrastelijapohjalta rakennettu tilaisuus, joskin sillä on paljon yhteistä yritysmaailmaan suunnatun Black Hatin kanssa, esimerkiksi samoja esityksiä.  Hyvien esitysten lisäksi Defconissa on suuri määrä oheistoimintaa, kuten tiirikointia ja tamper resistant -suojien kiertämistä. Erityisen ilahduttavaa oli kuulla TOOOL:n (The Open Organisation Of Lockpickers) edustajalta, että Abloyn lukot ovat niitä parhaita lukkoja ("they are amazing, I love them, I only use Abloy"). Ulkomailla matkustaessa ja paikallisia lukkoja katsoessa sitä usein ihmetteleekin, miksi Abloy ei ole yksi maailman suurimmista yrityksistä. Sama lainalaisuus pätee Orakseen ja hanoihin. Innovaatioita Suomessa siis tehdään, mutta päätyvätkö ne maailmalle vai jonnekin muualle?
 

Psykologian tuntemus avuksi

Yksi Defconin suosituista kilpailuista oli ns. Capture the Flag -kilpailu (CTF), jossa tarkoituksena oli sosiaalisen manipuloinnin (social engineering) avulla saada kohdeyrityksestä mahdollisimman paljon tietoa, kuten käytössä oleva käyttöjärjestelmä, antivirustuote, vartiointiyrityksen nimi jne. Parhaat pisteet sai onnistuessaan taivuttelemaan kohteen syöttämään selaimeen tietyn www-osoitteen. Kilpailu oli järjestetty siten, että kilpailija laitettiin puhelinkoppiin, ja yleisö kuuli sekä kilpailijan että kohteen keskustelun. Kohteena oli tyypillisesti jonkin suuren yrityksen, kuten Verizon, asiakaspalvelu.

 
Mielestäni kilpailijoiden keräämät tiedot olivat lähes hyödyttömiä, sillä puhelimeen vastanneet henkilöt eivät käytännössä tienneet kilpailijoiden kysymiä tietoja, eli vastaukset olivat hyvin epävarmoja ja sitä kautta epäluotettavia. Jopa www-osoitteen syöttäminen selaimeen ei olisi johtanut oikeassa tilanteessa suurempaan vahinkoon, sillä monet yritykset olivat estäneet vapaan verkkoselailun. Kuinka moni suomalainen yritys on tehnyt saman?

Kilpailussa oli kuitenkin eräs hyvin mielenkiintoinen piirre, eli millä tavoin kilpailija onnistui taivuttelemaan kohteen antamaan tietoa sekä avaamaan tietyn verkko-osoitteen. Osa kilpailijoista oli tässä hyvinkin taitavia, kun taas toisilla ei näyttänyt olevan edes perustason osaamista. Osa jopa käytti sellaista tietoista taktiikkaa, joka ainakin oppikirjojen mukaan ei saisi ihmisiä toimimaan halutulla tavalla – eikä saanut tässäkään kilpailussa. Älä siis esitä sairasta ja yksinkertaista, vaan ota ennemmin vaikka johtava rooli ja hyödynnä auktoriteetin asemaa.

Kaiken kaikkiaan näin siis kaksi erittäin hyvää tietoturva-aiheista seminaaria, joita voin varauksetta suositella alan ammattilaisille. Sisältöä oli valtavasti ja paljon jäikin näkemättä, mutta onneksi molempiin tilaisuuksiin voi palata vapaasti jaossa olevan materiaalin kautta.