Bezpečnostní konference a politika: přednášející pod tlakem

Na přelomu července a srpna proběhla v Las Vegas další konference Black Hat. Organizátoři hned na počátku akce opět řešili otázku, jaké příspěvky mají na konferenci vůbec zaznít a jaké by naopak měly být staženy na žádost postižených firem, respektive zaměstnavatelů přednášejících.

Ředitel konference Jeff Moss uvedl, že do budoucna by z těchto důvodů mohl být program dokonce do poslední chvíle utajován a témata kontroverzních příspěvků by účastníci konference obdrželi až na místě. Moss ovšem odmítl, že by se zde mohly prezentovat třeba přímo kódy útoků proti zero day zranitelnostem. Organizátoři hodlají zachovat odpovědný přístup, chtěli by však omezit tlak na přednášející.

Jane Holl Luteová z amerického ministerstva vnitra zde byla konfrontována se skepsí řady účastníků konference k vládní politice. Kritici se obávali, že postup úřadu v otázce kybernetické bezpečnosti dopadne obdobně jako vládní snahy o lepší zabezpečení leteckého provozu – riziko neklesne, ale příslušná nařízení zpomalí veškeré procesy, ať už jde o odbavování na letištích nebo elektrický obchod. Ministerstvo vnitra bylo také kritizováno za pomalost svých reakcí – například po epidemii červa Stuxnet, který napadal průmyslové řídicí systémy (viz výše), trvalo 5 dní, než bylo vůbec vydáno nějaké oficiální varování. Luteová namítala, že firmy sice kritizují vládní přístup, ale nezapojují se dostatečně do vládou iniciovaných diskusí.

Co se týče „politických“ témat, několik příspěvků se točilo i kolem role Číny. Ta se podle expertů od útoku na Google na přelomu roku stále více stává jádrem příslušného podnikání a elektronická kriminalita se zde provozuje téměř jako legální byznys a jen s malým rizikem represe. Hackerské nástroje se inzerují pomocí placené reklamy, vydávají se s číslem verze, obsahují smlouvu s koncovým uživatelem (EULA) a nabízí se k nim technická podpora třeba i 24 hodin denně nebo předplacení služby s dodávkou aktualizací. Výjimkou nejsou zdarma poskytované zkušební verze. Exploity jsou často velmi pokročilé, současně je však lze nasadit rychle a bez větších technických dovedností, což je základem jejich obrovské obliby. Produkty mívají grafické uživatelské rozhraní a pro pokročilejší uživatele často i nadstavbové grafické vývojové prostředí, pomocí něhož je lze přizpůsobit pro konkrétní druh kriminality. Často obsahují i statistické nástroje umožňující vyhodnocovat úspěšnost útoků a mít přehled o infikovaných systémech. Anthony Lai bezpečnostní výzkumník z honkongské firmy Valkyrie-X zde tvrdil, všechny příslušné procesy neprobíhají v Číně na rozdíl od západních zemích na nějakých tajných undergroundových fórech, ale víceméně otevřeně. Malware lze např. inzerovat na hlavním čínském vyhledávači Baidu.com a pořídit i za méně než 20 dolarů.

Jedna z přednášek, pokus o „archeologický“ přehled čínských kybernetických útoků od roku 2001, byla ovšem z konference stažena – za nejasných okolností a na nátlak Číny a Tchaj-wanu. Prezentující přitom pracoval pro tchaj-wanskou firmu.

Na Defconu došlo k pokusu rekrutovat účastníky konference do neziskového projektu (tzv. Project Vigilan), který si mj. klade za cíl sledovat na internetu aktivity teroristů. Tato organizace je sponzorována komerčními subjekty a dostává peníze i v rámci výzkumných projektů americké vlády. Na práci v ní se podílí asi 600 dobrovolníků. K hlavním činnostem patří monitoring IP adres, sledování on-line identit podvodníků a vytváření jejich profilů. Účastníci organizace byli ovšem k činnosti organizace skeptičtí – ačkoliv dle vlastního tvrzení existuje už od roku 1996, prakticky nikdo o ní neslyšel a nezapojovala se do akcí typu boje s červem Conficker. Na to lze ovšem namítnout (což učinil spolupracovník skupiny, bývalý prokurátor Kevin Manson), že řada lidí z projektu Vigilan se vyhýbá publicitě a z různých důvodů nechtějí, aby s jejich jména objevovala v médiích. Skupina se totiž zabývá i národní bezpečností a politikou, například údajně pomáhá íránským disidentům obcházet místní cenzurní technologie a shromáždila doklady o podvodech v posledních íránských prezidentských volbách.

Úplná verze tohoto článku vyjde v tištěném SecurityWorldu 3/2010.