29C3

29C3:  Not My Department

Chaos Communication Congress (skrátene CCC alebo C3) sa už tradične odohráva medzi Vianocami a Silvestrom. Tento termín je hlavne z toho dôvodu, že väčšina hackerov má voľno a zároveň organizátori radi oželejú tzv. “chlebíčkarov”, ktorí chodia na konferencie preto, aby nebodal nemuseli pracovať. Netradičné, ale účinné riešenie.

Okrem času je tradičné aj miesto - aspoň pre tých starších. Dvadsiatydeviaty kongres sa vrátil z Berlína do pôvodného mesta: Hamburgu. Skratka tohto ročníka je 29C3 (29. Chaos Communication Congress). Podtitulom tohtoročného kongresu je “Not My Department” alebo “Nie moje oddelenie”. Tento názov napovedá niečomu, čo hackeri veľmi neradi vidia - keď sa niekto (obzvlášť úradníci) vyhovárajú na to, že niečo je mimo ich kompetencií.

FeCr

Okrem času je tradičné aj miesto - aspoň pre tých starších. Dvadsiatydeviaty kongres sa vrátil z Berlína do pôvodného mesta: Hamburgu. Skratka tohto ročníka je 29C3 (29. Chaos Communication Congress). Podtitulom tohtoročného kongresu je “Not My Department” alebo “Nie moje oddelenie”. Tento názov napovedá niečomu, čo hackeri veľmi neradi vidia - keď sa niekto (obzvlášť úradníci) vyhovárajú na to, že niečo je mimo ich kompetencií.

Ak vás popisy niektorých prednášok, ktoré sme navštívili zaujmú, pozrite si ich online.

Svojim keynote otvoril konferenciu Jacob Appelbaum. Ako autor Tor a spolupracovník Wikileaks zažil, aké to je, keď sa o neho zaujíma všemocný štát. Niekoľkohodinvé výsluchy na letiskách boli bežnou praxou, pritom nebol nikdy z ničoho obvinený. Jacob sa snažil hackerov inšpirovať, aby vytvárali technológie, ktoré podporujú individuálnu slobodu - súkromie, anonymita, obchádzanie cenzúry. Neskôr mal aj technickú prednášku o Tor ekosystéme - teda programoch a knižniciach, ktoré vedia využívať Tor na anonymizáciu alebo obchádzanie cenzúry. Sadia Afroz a Aylin Caliskan Islam nás na svojej prednáške o Stylometrii upozornili, že s anonymitou to nie je také jednoduché - ak máte aj úplne anonymné pripojenie na Internet, štýl písania (vyjadrovania) vás môže pomerne ľahko prezradiť. Autorky predstavili svoju sadu nástrojov na stylometriu a čiastočnú anonymizáciu.

Tradičnou témou na kongrese je hackovanie GSM komunikácie. Tentoraz nešlo až tak o odpočúvanie. Sylvain Munaut prezentoval svoj “hack”, pomocou ktorého spravil základnú BTS (základnú stanicu GSM siete, ľudovo nazývanú “vykrývač”) zo starého GSM telefónu Motorola C123 s vlastným firmware. Takto je možné (v kontrolovaných podmienkach) vytvoriť si vlastnú GSM sieť, ktorá zatiaľ vie posielať krátke textové správy (SMS). Telefón musí byť počas celého času činnosti pripojený k počítaču, na ktorom beží klon OpenBTS.

GSM sieť spolu s DECT a VoIP sieťou (ktoré sú všetky prepojené) sa už tradične na kongrese dajú používať - bol by v tom čert, aby na najlepšej hackerskej konferencií v Európe a možno aj na svete nemali hackeri vlastnú GSM sieť, nie? (CCC si vybavilo dočasnú testovaciu licenciu, takže prevádzka tejto siete je legálna).

29C3 Hamburg Tag 1Obr: Hackeri hackli aj nápis “CCH” (Congress Center Hamburg) na “CCC”.

Mark van Cuijk z Holandska prezentoval svojho “otvoreného” poskytovateľa GSM služieb Limesco. Umožní vám nastaviť si smerovanie hovorov tak, ako chcete - v podstate vám privedie mobilné hovory na vašu VoIP ústredňu, kde si s nimi môžete robiť, čo chcete. Súčasťou prednášky bol aj prehľad komerčného pozadia mobilných operátorov a rôznych firiem (operátor siete, predajca, virtuálny operátor, …) a cenotvorby, prípadne prepájacích poplatkov.

Druhou vážnou témou bol konflikt hackeri vs. štáty. Od použitia internetu pri protestoch (arabská jar, occupy wall street) až po tzv. “whistleblowerov” bolo zastúpené celé spektrum tohto konfliktu. Vrcholom tejto témy bola prednáška “Nepriatelia štátu: Čo sa stane, ked hovorenie pravdy o tajnej moci americkej vlády sa stane zločinom”. Prednášku viedli dvaja bývalí zamestnanci NSA, ktorí pracovali na odpočúvacích technológiách. Obidvaja NSA opustili po tom ako ich nadriadení rozhodli o vývoji a nasadení odpočúvacieho systému Stellar Wind, ktorý má odpočúvať a ukladať komunikáciu všetkých (bez ohľadu na štátne občianstvo) bez súdneho príkazu. Thomas Drake niekoľkokrát povedal, že si myslí, že takéto niečo je proti ústave USA. William Binney naznačil ako odpočúvacia technológia funguje a aké kapacity má nové dátové centrum NSA, ktoré sa stavia v Utahu.

Nie len američania odpočúvajú – podobne (a oveľa otvorenejšie) je na tom momentálne Rusko. Pomocou technológií na odpočúvanie sa ruský prístup k odpočúvaniu exportuje aj za hranice Ruska a dokonca aj pôvodného Sovietskeho Zväzu. Mexiko sa rozhodlo zakúpiť odpočúvacie technológie od Ruskej firmy a tá ich presvedčila, aby procesy prispôsobili tým ruským - to znamená, že príslušné orgány získavajú celú nefiltrovanú prevádzku a kontrolu toho, či existuje súdny príkaz nechávajú sami na seba - teda súdne príkazy nekontroluje nikto.

Na kryptológiu a útoky na šifry sú osobitné odborné konferencie, ale kryptologická analýza ruskej šifry GOST bola pomerne zaujímavá. Analýzu bezpečnosti RFID kariet predstavil veľmi vtipne a zaujímavo Timo Kasper. Súčasťou bol popis ako hacknúť Pražskú OpenCard. Najzaujímavejšia prednáška však podľa nás bola o faktorizácií verejného kľúča RSA, ktorú predviedli djb (D.J. Bernstein, autor djbdns a mailového balíka qmail), Nadia Heninger a Tanja Lange. Poukázali na reálne problémy pri tvorbe šifrovacích systémov ako napr. nedostatočná entropia pri generovaní kľúčov. Ukázali metódu ako faktorizovať viacero kľúčov paralelne a svoj projekt http://factorable.net/, kde je možné overiť, či sú verejné kľúče vporiadku alebo sú k ním známe faktory. Dôležitý výstup z tejto prednášky je najmä to, že už nie je bezpečné používať 1024-bitové RSA kľúče.

Sebastian Schinzel predstavil útoky na postranný kanál (časovanie). Idea tohto útoku je o tom, že niektoré operácie trvajú dlhšie a niektoré kratšie. Na základe času, ktorý zaberá operácia je možné získať informáciu, ktorá nebola verejná. Učebnicovým príkladom je napríklad algoritmus, ktorý pri prihlásení overí najprv meno užívateľa a potom heslo. Ak operácia skončí skôr, dá sa usúdiť, že nebol nájdený užívateľ. Ak skončí neskôr, došlo aj ku kontrole hesla, teda daný užívateľ existuje. Sebastian zverejnil sadu nástrojov na meranie týchto časových odchýliek a taktiež nás previedol spôsobmi, akými sa dá týmto druhom útokov zabrániť.

Na CCC je mnoho zaujímavých vecí - aj napriek tomu, že sa jedná už o 29. ročník konferencie, autori sa neboja experimentovať. V novom priestore vzniklo niekoľko desiatok tzv. “assemblies”, t.j. miest, ktoré boli spojené nejakou spoločnou témou. Assemblies organizovali workshopy a ukážky technológií mimo hlavný program. Nezávislých workshopov bolo vyše 100. Konferenčná sieť bola tiež postavená zaujímavo - v špičke zvládla 3059 užívateľov, 40% prevádzky bolo IPv6. Počas konferencie stúpol súhrnný traffic mesta Hamburg o jednu tretinu (na konferencií sa používalo vyše 8GBit/s). Organizátori konferencie to označili ako príliš nudné a usúdili, že ľudia nesledujú požiadavku, aby ľudia vyťažili internet viac - dovedená konektivita bola 30Git/s. Na niektorých stoloch sa nachádzali ethernetové porty, ktoré podporovali iba 10Gbit/s.

Pult

Množstvo sprievodných akcií, spontánne zorganizované workshopy a stretnutia, zaujímavé a veľmi kvalitné prednášky, otvorený prístup (nízke vstupné, konferencia organizovaná čisto dobrovoľníkmi a voľne dostupný stream) robia z Chaos Communication Congressu najlepšiu technickú (hackerskú) konferenciu minimálne v Európe. Sesterskou udalosťou kongresu sú dva campy, jeden organizovaný nemeckým Chaos Communication Clubom a druhý organizovaný v Holandsku. Tohtoročný holandský kemp sa volá Observe, Hack, Make (OHM) a lístky sa už predávajú na ohm2013.org. Pridajte sa!

Podobné blogy