[ --- The Bug! Magazine _____ _ ___ _ /__ \ |__ ___ / __\_ _ __ _ / \ / /\/ '_ \ / _ \ /__\// | | |/ _` |/ / / / | | | | __/ / \/ \ |_| | (_| /\_/ \/ |_| |_|\___| \_____/\__,_|\__, \/ |___/ [ M . A . G . A . Z . I . N . E ] [ Numero 0x03 <---> Edicao 0x01 <---> Artigo 0x01 ] .> 05 de Maio de 2008, .> The Bug! Magazine < staff [at] thebugmagazine [dot] org > +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ The Bug! Magazine entrevista: Space Rogue +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ .> 29 de Fevereiro de 2008, .> The Bug! Magazine < staff [at] thebugmagazine [dot] org > Novamente a The Bug! Magazine vem com um entrevistado conhecido mundialmente. Dessa vez tivemos a oportunidade de entrevistar Space Rogue, ex-membro do L0pht Heavy Industries, um dos mais renomados e influentes grupos da historia, e ex-editor do site Hacker News Network e antigo funcionario da @Stake, um dos mais interessantes e controversos start-ups de seguranca de todos os tempos. Gostariamos de deixar o nosso obrigado a Space Rogue por ter dedicado um pouco do seu tempo para contribuir com nossa humilde revista. PS: The original interview in English can be found after the translated version. (*) Versao traduzida (portugues) The Bug!: A pergunta classica: Como voce entrou no hacking e como foi o seu primeiro contato com a cena? Space Rogue: Depende do que voce define como hacking. Quando eu era crianca eu gostava de desmontar as coisas para ver o que tinha dentro delas. Eu tinha uma grande colecao de pilhas, lampadas e outras coisas que eu usava para fazer lanternas e entao com elas eu poderia ler livros enquanto supostamente eu deveria estar dormindo. O primeiro computador que eu usei foi um Osborne 1, que um vizinho tinha quando eu era mais jovem. Primeiro aprendi BASIC nele e em seguida usei um Commodore PET quando eu estava na escola. Muitos anos depois eu tive um Mac SE com 1MB de RAM e dois drives de disquete de 800K. Provavelmente eu ultimo 'hack' de hardware foi ter colocado um hard disk de 20MB no Mac, mantendo os disquetes. Em algum momento eu tive um modem de 2400 baud para ligar para BBSes e a partir dai' tudo e' historia. TB!: Qual e' a sua opiniao sobre a cena atual e a industria de seguranca? SR: Nao tenho muita certeza se posso dar alguma opiniao sobre a cena atual, ate' porque nao tenho me envolvido muito ultimamente. Nos ultimos 8 anos fui somente a uma conferencia e nao vou aos encontros 2600 e nao fico mais em IRC (ainda usam?). Sobe a industria de seguranca, ela nao mudou muito. Os fabricantes ainda tentam esconder falhas dos seus produtos e pesquisadores ainda tentam expor essas vulnerabilidades. Existe tanto "snake oil", animosidade e falta de confianca quanto existia 10 anos atras. Infelizmente nao vejo este cenario mudando dentro de algum tempo. TB!: Voce pode descrever rapidamente como o L0pht comecou e como voce entrou no grupo? SR: Esta e' uma historia frequente, portanto vou ser breve. Nos tempos antigos de meados da decada de 90, Count Zero e Brian Oblivion alugaram parte de um armazem para guardar pecas dos computadores de suas colecoes. O aluguel era mais caro do que eles podiam pagar e entao eles convidaram alguns amigos de BBSes locais. Eu era uma dessas pessoas convidadas. No inicio era somente um deposito, um lugar para guardar coisas que nao se queria jogar fora. Claro que comecamos a plugar e conectar os equipamentos. Rapidamente tinhamos uma rede e uma conexao dedicada a Internet atraves de um modem 14400 bps com o primeiro provedor da area. Tudo isso foi bancado por nos mesmos. Uma vez que o lugar era na verdade o sotao (loft, em ingles) deste velho armazem, o nosso espaco ficou conhecido como L0pht. TB!: Como voce acha que as pesquisas em seguranca e a industria mudaram desde que o L0pht apareceu na cena? SR: Infelizmente nao o suficiente. O L0pht foi o antepassado do "responsible disclosure". Achavamos que era importante deixar as pessoas saberem sobre falhas de seguranca, mas tambem achavamos que deveriamos dar uma chance `as empresas responsaveis pelos programas de corrigi-los a tempo. A priori as empresas nao se importavam e levavamos as falhas a publico. Agora, 10 anos depois, varias empresas e pesquisadores tem suas politicas sobre divulgacao de vulnerabilidades. E isto e' bom. E' uma pena que esta poli- tica nao e' seguida sempre e nao ha' penalidades para aqueles que infringem as regras. Entao enquanto na superficie nos temos todos esses novos proce- dimentos para lidar com problemas ed seguranca, na realidade qualquer um pode fazer qualquer coisa que quiser com pouca ou nenhuma repercursao. TB!: O L0pht foi um dos grupos pioneiros no movimento full disclosure. Voce ainda apoia o movimento? Seria full disclosure a melhor maneira de forcar os fabricantes a desenvolver produtos mais seguros? SR: Todas as empresas tem um objetivo principal de ganhar dinheiro. Sem dinheiro elas deixariam de existir. Para muitas, mas nao todas, atingir esta meta esta' acima de todas as outras. Infelizmente divulgacao acontece apos um produto estar feito e, enquanto isso pode influenciar o processo do produto um pouco, e' mais efetivo faze-las corrigir o que esta quebrado. Para forca-las realmente a desenvolver produtos melhores, em primeiro lugar voce deve atingi-las onde doi: no bolso. Eu costumava a pensar que o merca- do livre, com concorrencia, iria fazer a selecao natural daqueles produtos que eram mais seguros, mas os clientes que compram praticamente nao tem como saber se um produto e' melhor do que outro. Entao achei que acoes legais seriam a resposta, achar um produto ruim e processar o fabricante. Percebi que era so questao de tempo antes que as ameacas legais forcassem a criacao de produtos melhores. Isto nao funciona tambem, a menos que alguem morra as empresas sao imunes legalmente (pelo menos nos EUA). Acredito que o que deve acontecer alem de uma divulgacao responsavel, e' um sistema de ranking que e' aplicado ao produto antes de ele ser lancado. Entao o cliente pode olhar a pontuacao e ver se o produto atinge um certo criterio e que foi certificado por terceiros se atinge niveis especificos de seguranca. TB!: Por volta de 1999 o L0pht passou a ser uma empresa e por isso foram acusados de se venderem. Como foi ter o think-tank adquirido pela @Stake? E por que houveram demissoes logo em seguida? SB: Ahhh, a pergunta sobre termos nos vendido. Na minha opiniao o L0pht foi o mais longe que podia na forma com que o grupo era. A escolha ou era "se vender" (como voce falou) ou deixar de existir. Eu acho que se o L0pht continuasse no mesmo caminho, iriamos parar aos poucos. Entao era arriscar e "se vender" e tentar ser algo maior ou rolar ladeira abaixo vagarosamente. Nao acho que atingimos esse algo maior, mas pelo menos, na minha opiniao, valeu a tentativa. E' dificil ser demitido assim, sem a menor compaixao, sem amargura. Mas quando vi a demissao de Dan Geer, de mim e alguns outros, estavam claros quais eram os motivos. @Stake, como qualquer empresa, tinha como objetivo ganhar dinheiro. Dan Geer foi bastante barulhento sobre os perigos de monocultura na computacao (ex.: Microsoft), e eu, com a HNN, era bem baru- lhento a respeito de tudo. Eu acho que a @Stake percebeu que seria dificil ganhar dinheiro se todos a odiassem. Entao fazia sentido, do ponto de vista deles, de se livrar de algumas pessoas. TB!: Testemunhar no congresso americano era algo que teoricamente jamais iria acontecer a um grupo hacker, especialmente usando seus nicknames ao inves dos seus nomes. Como foi esse fato? SR: Bem, nos nao fomos os primeiros hackers a testemunhar no congresso; Emmanuel Goldstein da 2600 fez o mesmo anos antes. Tudo era bem surreal. Eu tenho uma copia impressa do testemunho e lendo-o agora, 10 anos depois, e' engracado. Quase tudo que dissemos na epoca ainda e' verdade hoje. Esta linha e' bem legal: "Senador Thompson: 'Eu espero que meus netos nao per- guntem quem eram minhas testemunhas e eu tenha que dizer a eles, Space Rogue'. [risos]" TB!: Hacker News Network foi provavelmente a melhor, mais rapida e confiavel fonte de informacoes sobre o computer underground. Por que voce parou com o site? Ha' planos para coloca-lo no ar novamente? SR: Honestamente, eu sinto falta da HNN. Mas era muito trabalho. Tentei recome- car cinco anos atras sob o nome de "Hacker Intel". Apos seis meses com poucos acessos, simplesmente nao justificava o tempo que eu estava inves- tindo, entao o tirei do ar. Agora estou rodando um WordPress no meu site antigo spacerogue.net mas nao posso mante-lo atualizado como a HNN, mas pelo menos as maiores noticias estarao la'. TB!: Como voce ve o hacking dentro de 10 anos? Voce pode prever algo? SR: Eu ainda acho que o thin client esta' voltando. Espere um crescimento de aplicacoes hospedadas por terceiros e grandes problemas de seguranca causa- dos por isso. PWAN (personal wireless network) ira' emergir, e esta' come- cando com Bluetooth, Zigbee, wireless USB, etc. Problemas de seguranca com essas tecnologias, especialmente tentativas de ataca-las `a distancia. Spam e botnets irao se tornar piores. Os recentes avancos em forense sao impres- sionantes e espero que continuem assim. TB!: Voce se arrepende de alguma coisa no seu tempo como hacker? SR: Me arrependo de nao poder ter tido mais tempo para aprender mais. Parece que a vida obstrui isso. TB!: Compartilhe conosco sua experiencia mais memoravel com hacking SR: Todas as vezes quando voce finalmente entende alguma coisa e a faz funcio- nar e voce grita "yes!". A sensacao nao dura muito e voce instantaneamente passa para o outro problema, o proximo desafio, fazendo o que for preciso para gritar "yes!" novamente. (*) English version The Bug!: The classic question: How did you get into hacking and how was your first contact with the scene? Space Rogue: That depends on how you define hacking. As a very young child I would take things apart to see what was inside. I had a large collection of batteries, light bulbs and other things I used to make flashlights with so that I could read books after I was supposed to be asleep. The first computer I ever used was an Osborne 1 that one of my neighbors had when I was growing up. That is what I first learned BASIC on. A Commodore PET quickly followed that when I was in high school. Several years later I had a Mac SE with a whopping 1Mb of RAM and two 800K floppy drives. My earliest hardware hack was probably fitting a 20MB hard drive inside the Mac SE while keeping both floppies. At some point I got a 2400 baud modem to call BBS's and it is pretty much history from there. TB!: What is your opinion about the current scene and infosec industry? SR: I'm not sure I can really give an opinion about the current scene, as I am not really involved with it much anymore. Išve only been to one con in the last eight years or so, I don't go to 2600 and I don't hang out on IRC. (Do people still use IRC?) As for the Infosec industry it hasn't changed much. Vendors are still trying to hide the flaws in their products and researches are still trying to expose them. There is as much snake oil, animosity and distrust now as there was ten years ago. Unfortunately I don't see this changing much anytime soon. TB!: Can you briefly describe how L0pht was born and you ended up joining the team? SR: This is an often-told story so I'll try to be brief. Way back in the olden times of the mid 90's Count Zero and Brian Oblivion rented part of an old warehouse space to store parts of their computer (i.e. junk) collection. The rent on the space was more than they could afford alone so they asked some friends from the local BBS world to join them. I was one of those people asked to join. At first it was just storage space, a place for the junk that you didn't want to through away. Of course we started plugging the stuff in and connecting things to each other. We soon had a network and a dedicated Internet connection via a 14400 baud modem to the very first ISP in the area. All of this was funded out of our own pockets. Since the space was an actual old warehouse loft space it became to be known as the L0pht. TB!: How do you think security research and industry has changed since L0pht hit the scene? SR: Unfortunately not enough. The L0pht was the forefather of responsible disclosure. We thought it was important to let people know about security flaws but we also thought the companies creating those flaws should be given a chance to fix them. At first companies didn't care so we went public with the flaws. Now ten years later a lot of companies and researchers have policies about responsible vulnerability disclosure. This is a good thing. Unfortunately it is not followed all of the time and there are no penalties if someone violates the rules. So while on the surface we have all these shiny new procedures for handling security issues in reality anyone can do pretty much anything they want with little or no repercussions. TB!: L0pht was one of the leading groups in full disclosure movement. Do you still stand by it? Is full disclosure the best way to force vendors into developing more secure products? SR: All companies have one primary goal, make money, without money they cease to exist. For many companies, not all but most, the achievement of that goal is paramount beyond all else. Unfortunately disclosure happens after a product is already made and while it may influence the development process a little it is most effective to force companies to stand behind a product and to fix it if it is found to be broken. To force companies to actually develop better products in the first place you need to hit them where it hurts, the wallet. I used to think that free market forces would naturally select those products that were more secure but the buying public really has little way to tell if one product is better than an other. Then I thought that lawsuits were the answer, find a crappy product and sue the manufacturer. I figured it was only a matter of time before the threat of lawsuits would force companies to create better products. That doesn't work either, unless someone dies companies are pretty much immune legally to the effects of their products (in the US at least). I think what needs to happen in addition to responsible disclosure is an official rating or ranking system that is applied to a product before it is released. Then a consumer can just look for the rating label to know that an item has met certain criteria and has been certified by a third party to meet a specific level of security. TB!: Circa 1999, L0pht went corporate and were accused to sell out. How was it like having the think-tank acquired by @stake? And why there were subsequent firings? SB: Ahh, the sellout question. In my opinion the L0pht had gone as far as it could in the form that it was. The choice was either "sell out" (as you put it) or cease to be. I think if the L0pht had continued on the same path it would have slowly fizzled. So it was either take a risk and "sell out" and at least try to be something greater or to just slowly roll down- hill. While I don't think we ever achieved the something greater it was, in my mind, worth the shot. It is hard to examine being fired dispassionately without feeling a little bitter. But when I look at the firing of Dan Geer, myself and a few other people it seems clear what the reasons were. @Stake, like any company, had a goal of making money. Dan Geer was rather vocal about the dangers of a monoculture in computing (i.e. Microsoft), and I, running HNN, was pretty vocal about everything. I think @Stake realized that it was going to be kind of hard to make money if everyone hated you. So it made sense, from @Stake's point of view, to get rid of a few people. TB!: Testifying before the US Congress was something that in theory could never happen to a hacker group, especially using their handles rather than their real names. What was it like? SR: Well we weren't the first hackers to testify before the US Congress; Emmanuel Goldstein from 2600 had done it a few years earlier. The whole thing was rather surreal though. I have a printed copy of the testimony and reading it now, ten years later, it is almost funny. Almost everything we said then is still true today. This one line is pretty cool "Senator Thompson: 'I hope my grandkids do not ask me who my witnesses were today and I reply, Space Rogue'. [Laughter]" TB!: Hacker News Network was probably the best, fastest and reliable source of information about the computer underground. Why did you stop with the web site? Any plans to put it up again? SR: Honestly, I miss HNN. But it was one hell of a lot of work. I did try to start it up again about five years ago under the name 'Hacker Intel'. After six months the lack of traffic just didn't justify the time I was investing in it so I shut it down. Now I am running WordPress on my old site, spacerogue.net, while I don't have the time to keep it as updated as HNN at least I can get the big stories out there. TB!: How do you see hacking within 10 years? Can you predict something? SR: I still think the thin client is coming back. Look for an increasing reliance on hosted applications and some huge security issues because of it. The emergence of the PWAN (personal wireless network) is only just beginning with Bluetooth, Zigbee, wireless USB, etc. Security issues with those technologies especially people attempting to attack them from a distance. SPAM and bot-nets will get worse before they get better. The advances in forensics recently have been mind-boggling. Look for that to continue. TB!: Do you regret anything of your time as hacker? SR: I regret not being able to spend more time to learn more stuff. Life just seems to get in the way. TB!: Share with us your most memorable experience with hacking SR: All the times when you finally figured something out and got it to work and you just yell, Yes! The feeling doesn't last long and your instantly onto the next problem, the next challenge, doing whatever it take so that you can again stand up and yell, Yes!