Blogi

Browse blogs by our service areas

Hakkeritapahtuma Disobey 2017

Olin viime viikonloppuna käymässä hakkeritapahtumassa nimeltä  Disobey 2017.

Tapahtuma-alueena toimi Suvilahden Kattilahalli, jossa tekno raikasi ja decoilla oli haettu cyberpunk - henkeä. Osallistujia oli ilmeisesti yli 400 ja kutsuissa oli erikseen kielletty puvut. Hupparit ja pitkät parrat hallitsivat yleiskuvaa. Alueella oli workshoppeja, erilaisia retropelejä, firmojen standejä ja paljon erilaisia hakkerointihaasteita.

Tapahtumassa oli voimassa Chatham house rule, joka tarkoitti sitä että tapahtuman osallistujia ei saa nimetä eikä sieltä saa ottaa kuvia. Tässä blogissa julkaistut kuvat on hyväksytetty järjestäjillä enkä mainitse nimeltä asioiden lähteitä. Tapahtuman esitykset tulevat Youtubeen ja linkkaan ne tähän kirjoitukseen kunhan ne julkaistaan. Esityksissä oli osioita, joista ei saanut twiitata ja jotka sensuroidaan kokonaan pois videoista, joten sitä kautta halutut asiat tulevat sitten aikanaan julkisiksi.

Koko tila oli anniskelualuetta, jonka huomasin toisena päivänä kun ilmestyin paikalle 2,5 vuotiaan poikani kanssa, joka ei saanutkaan oleilla alueella. Järjestäjät hoitivat tilanteen hienosti järjestämällä meille pääsyn takahuoneeseen, jossa keskustelimme puhujien ja henkilökunnan kanssa. Poikani viihtyi hienosti erään toisen samanikäisen laittomuuden kanssa, kun iskät puhuivat tietoturvasta.

Firmojen ständeistä minulle jäi päällimmäisenä mieleen 3D tulostettava satelliitti, jonka avulla on mahdollista romahduttaa kulut satelliittien valmistuksessa. Kulut saataisiin laskemaan laukaisuineen muutamiin satoihin tuhansiin euroihin. Tällöin pienetkin toimijat pystyisivät luomaan oman satelliittiverkon, jolla pystyttäisiin esimerkiksi valvomaan reaaliajassa viidakkojen salahakkuita.

Eräs puhuja kertoi ideoistaan Tor-verkkojen hyötykäytöstä. Uutisissa Tor-verkko mielletään rikollisten kaupan välineeksi, mutta se on myös sananvapauden väline. Maissa jossa internettiin pääsyä on rajoitettu tai se on kokonaan kielletty Tor-verkko tarjoaa ainoan sensuroimattoman väylän tiedonhakuun sekä henkilöiden väliseen kanssakäymiseen. Puhujan eräs idea liittyi IoT-laitteiden tietoturvaan. IoT voisi käyttää hyödykseen Torin salausmekanismia, jolloin IoT:hen kytketyt laitteet toimisivat salatussa ympäristössä ilman että niitä voi jäljittää. Toinen hyötysovellus olisi kansallisen verkon rakentaminen, joka toimisi myös silloin kun maan yhteys kansainväliseen internettiin katkeaa. Näin voisi tapahtua katastrofitilanteissa, sodassa ja cybersodassa.

 Pääsimme Johannan kanssa Bubble Bobblessa tasolle 36!

Toinen henkilö puhui monestakin mielenkiintoisesta asiasta joista yksi oli IoT-laitteiden vastuut. Esimerkiksi pölynimureilla on tarkat vastuut ja vakuutukset sen varalta että laite aiheuttaa tulipalon tai sähkövian. Jos pölynimuri aiheuttaa WLAN-salasanasi vuotamisen niin sille ei löydy vielä vastuullista. IoT:n myötä myös pienelektroniikalle pitäisi määritellä tieturvallisuussertifikaatit.

Eräs hakkeri näytti videollaan kuinka erittäin suosittu palvelimen malli murrettiin man in the middle -hyökkäksellä. Palvelin ei käyttänyt päivityksiin SLL-salausta vaan hakkeri pystyi normaaliksi päivitykseksi naamioituneena kaappaamaan koko serverin hallintaansa. Hän on raportoinut haavoittuvuuden jo vuosi sitten. Koska toimiin asian korjaamiseksi ei ole ryhdytty, niin hän on nyt julkaissut haavoittuvuuden kaikille tiedoksi.

Workshoppeja oli erilaisia ja ne kestivät kumpanakin päivänä neljä tuntia. Mielenkiintoiselta vaikutti esimerkiksi workshoppi, jossa testattiin järjestelmiä SQL-injektioita vastaan.

Siitä vallitsi yksimielisyys että edelleen turvallisuuden heikoin lenkki ovat käyttäjät. Siksi linkitänkin tähän hakkereiden 5 turvaohjetta

Ensi vuonna ilmoittaudun ennalta workshoppeihin, sillä ne olivat erittäin suosittuja eikä mukaan enää myöhemmin mahtunut. Suosittelen tapahtumaa kaikille tietoturvallisuudesta kiinnostuneille. Se on silmiä avaava kokemus.

EDIT 17.1.2017: Disobeyssä murrettiin myös kaikkiin autoihin suunniteltu musta  laatikko.