[ --- The Bug! Magazine
_____ _ ___ _
/__ \ |__ ___ / __\_ _ __ _ / \
/ /\/ '_ \ / _ \ /__\// | | |/ _` |/ /
/ / | | | | __/ / \/ \ |_| | (_| /\_/
\/ |_| |_|\___| \_____/\__,_|\__, \/
|___/
[ M . A . G . A . Z . I . N . E ]
[ Numero 0x03 <---> Edicao 0x01 <---> Artigo 0x01 ]
.> 05 de Maio de 2008,
.> The Bug! Magazine < staff [at] thebugmagazine [dot] org >
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
The Bug! Magazine entrevista: Space Rogue
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
.> 29 de Fevereiro de 2008,
.> The Bug! Magazine < staff [at] thebugmagazine [dot] org >
Novamente a The Bug! Magazine vem com um entrevistado conhecido mundialmente.
Dessa vez tivemos a oportunidade de entrevistar Space Rogue, ex-membro do
L0pht Heavy Industries, um dos mais renomados e influentes grupos da historia,
e ex-editor do site Hacker News Network e antigo funcionario da @Stake, um dos
mais interessantes e controversos start-ups de seguranca de todos os tempos.
Gostariamos de deixar o nosso obrigado a Space Rogue por ter dedicado um pouco
do seu tempo para contribuir com nossa humilde revista.
PS: The original interview in English can be found after the translated
version.
(*) Versao traduzida (portugues)
The Bug!: A pergunta classica: Como voce entrou no hacking e como foi o
seu primeiro contato com a cena?
Space Rogue: Depende do que voce define como hacking. Quando eu era crianca eu
gostava de desmontar as coisas para ver o que tinha dentro delas.
Eu tinha uma grande colecao de pilhas, lampadas e outras coisas
que eu usava para fazer lanternas e entao com elas eu poderia ler
livros enquanto supostamente eu deveria estar dormindo.
O primeiro computador que eu usei foi um Osborne 1, que um vizinho
tinha quando eu era mais jovem. Primeiro aprendi BASIC nele e em
seguida usei um Commodore PET quando eu estava na escola.
Muitos anos depois eu tive um Mac SE com 1MB de RAM e dois drives
de disquete de 800K. Provavelmente eu ultimo 'hack' de hardware foi
ter colocado um hard disk de 20MB no Mac, mantendo os disquetes.
Em algum momento eu tive um modem de 2400 baud para ligar para BBSes
e a partir dai' tudo e' historia.
TB!: Qual e' a sua opiniao sobre a cena atual e a industria de seguranca?
SR: Nao tenho muita certeza se posso dar alguma opiniao sobre a cena atual,
ate' porque nao tenho me envolvido muito ultimamente. Nos ultimos 8 anos
fui somente a uma conferencia e nao vou aos encontros 2600 e nao fico mais
em IRC (ainda usam?).
Sobe a industria de seguranca, ela nao mudou muito. Os fabricantes ainda
tentam esconder falhas dos seus produtos e pesquisadores ainda tentam expor
essas vulnerabilidades. Existe tanto "snake oil", animosidade e falta de
confianca quanto existia 10 anos atras. Infelizmente nao vejo este cenario
mudando dentro de algum tempo.
TB!: Voce pode descrever rapidamente como o L0pht comecou e como voce entrou
no grupo?
SR: Esta e' uma historia frequente, portanto vou ser breve. Nos tempos antigos
de meados da decada de 90, Count Zero e Brian Oblivion alugaram parte de
um armazem para guardar pecas dos computadores de suas colecoes. O aluguel
era mais caro do que eles podiam pagar e entao eles convidaram alguns
amigos de BBSes locais. Eu era uma dessas pessoas convidadas. No inicio
era somente um deposito, um lugar para guardar coisas que nao se queria
jogar fora. Claro que comecamos a plugar e conectar os equipamentos.
Rapidamente tinhamos uma rede e uma conexao dedicada a Internet atraves de
um modem 14400 bps com o primeiro provedor da area. Tudo isso foi bancado
por nos mesmos.
Uma vez que o lugar era na verdade o sotao (loft, em ingles) deste velho
armazem, o nosso espaco ficou conhecido como L0pht.
TB!: Como voce acha que as pesquisas em seguranca e a industria mudaram desde
que o L0pht apareceu na cena?
SR: Infelizmente nao o suficiente. O L0pht foi o antepassado do "responsible
disclosure". Achavamos que era importante deixar as pessoas saberem sobre
falhas de seguranca, mas tambem achavamos que deveriamos dar uma chance
`as empresas responsaveis pelos programas de corrigi-los a tempo. A priori
as empresas nao se importavam e levavamos as falhas a publico. Agora, 10
anos depois, varias empresas e pesquisadores tem suas politicas sobre
divulgacao de vulnerabilidades. E isto e' bom. E' uma pena que esta poli-
tica nao e' seguida sempre e nao ha' penalidades para aqueles que infringem
as regras. Entao enquanto na superficie nos temos todos esses novos proce-
dimentos para lidar com problemas ed seguranca, na realidade qualquer um
pode fazer qualquer coisa que quiser com pouca ou nenhuma repercursao.
TB!: O L0pht foi um dos grupos pioneiros no movimento full disclosure.
Voce ainda apoia o movimento? Seria full disclosure a melhor maneira de
forcar os fabricantes a desenvolver produtos mais seguros?
SR: Todas as empresas tem um objetivo principal de ganhar dinheiro. Sem
dinheiro elas deixariam de existir. Para muitas, mas nao todas, atingir
esta meta esta' acima de todas as outras. Infelizmente divulgacao acontece
apos um produto estar feito e, enquanto isso pode influenciar o processo do
produto um pouco, e' mais efetivo faze-las corrigir o que esta quebrado.
Para forca-las realmente a desenvolver produtos melhores, em primeiro lugar
voce deve atingi-las onde doi: no bolso. Eu costumava a pensar que o merca-
do livre, com concorrencia, iria fazer a selecao natural daqueles produtos
que eram mais seguros, mas os clientes que compram praticamente nao tem
como saber se um produto e' melhor do que outro.
Entao achei que acoes legais seriam a resposta, achar um produto ruim e
processar o fabricante. Percebi que era so questao de tempo antes que as
ameacas legais forcassem a criacao de produtos melhores. Isto nao funciona
tambem, a menos que alguem morra as empresas sao imunes legalmente (pelo
menos nos EUA).
Acredito que o que deve acontecer alem de uma divulgacao responsavel, e' um
sistema de ranking que e' aplicado ao produto antes de ele ser lancado.
Entao o cliente pode olhar a pontuacao e ver se o produto atinge um certo
criterio e que foi certificado por terceiros se atinge niveis especificos
de seguranca.
TB!: Por volta de 1999 o L0pht passou a ser uma empresa e por isso foram
acusados de se venderem. Como foi ter o think-tank adquirido pela @Stake?
E por que houveram demissoes logo em seguida?
SB: Ahhh, a pergunta sobre termos nos vendido. Na minha opiniao o L0pht foi o
mais longe que podia na forma com que o grupo era. A escolha ou era "se
vender" (como voce falou) ou deixar de existir. Eu acho que se o L0pht
continuasse no mesmo caminho, iriamos parar aos poucos. Entao era arriscar
e "se vender" e tentar ser algo maior ou rolar ladeira abaixo vagarosamente.
Nao acho que atingimos esse algo maior, mas pelo menos, na minha opiniao,
valeu a tentativa.
E' dificil ser demitido assim, sem a menor compaixao, sem amargura. Mas
quando vi a demissao de Dan Geer, de mim e alguns outros, estavam claros
quais eram os motivos. @Stake, como qualquer empresa, tinha como objetivo
ganhar dinheiro. Dan Geer foi bastante barulhento sobre os perigos de
monocultura na computacao (ex.: Microsoft), e eu, com a HNN, era bem baru-
lhento a respeito de tudo. Eu acho que a @Stake percebeu que seria dificil
ganhar dinheiro se todos a odiassem. Entao fazia sentido, do ponto de vista
deles, de se livrar de algumas pessoas.
TB!: Testemunhar no congresso americano era algo que teoricamente jamais iria
acontecer a um grupo hacker, especialmente usando seus nicknames ao inves
dos seus nomes. Como foi esse fato?
SR: Bem, nos nao fomos os primeiros hackers a testemunhar no congresso;
Emmanuel Goldstein da 2600 fez o mesmo anos antes. Tudo era bem surreal.
Eu tenho uma copia impressa do testemunho e lendo-o agora, 10 anos depois,
e' engracado. Quase tudo que dissemos na epoca ainda e' verdade hoje. Esta
linha e' bem legal: "Senador Thompson: 'Eu espero que meus netos nao per-
guntem quem eram minhas testemunhas e eu tenha que dizer a eles,
Space Rogue'. [risos]"
TB!: Hacker News Network foi provavelmente a melhor, mais rapida e confiavel
fonte de informacoes sobre o computer underground. Por que voce parou com
o site? Ha' planos para coloca-lo no ar novamente?
SR: Honestamente, eu sinto falta da HNN. Mas era muito trabalho. Tentei recome-
car cinco anos atras sob o nome de "Hacker Intel". Apos seis meses com
poucos acessos, simplesmente nao justificava o tempo que eu estava inves-
tindo, entao o tirei do ar. Agora estou rodando um WordPress no meu site
antigo spacerogue.net mas nao posso mante-lo atualizado como a HNN, mas
pelo menos as maiores noticias estarao la'.
TB!: Como voce ve o hacking dentro de 10 anos? Voce pode prever algo?
SR: Eu ainda acho que o thin client esta' voltando. Espere um crescimento de
aplicacoes hospedadas por terceiros e grandes problemas de seguranca causa-
dos por isso. PWAN (personal wireless network) ira' emergir, e esta' come-
cando com Bluetooth, Zigbee, wireless USB, etc. Problemas de seguranca com
essas tecnologias, especialmente tentativas de ataca-las `a distancia. Spam
e botnets irao se tornar piores. Os recentes avancos em forense sao impres-
sionantes e espero que continuem assim.
TB!: Voce se arrepende de alguma coisa no seu tempo como hacker?
SR: Me arrependo de nao poder ter tido mais tempo para aprender mais. Parece
que a vida obstrui isso.
TB!: Compartilhe conosco sua experiencia mais memoravel com hacking
SR: Todas as vezes quando voce finalmente entende alguma coisa e a faz funcio-
nar e voce grita "yes!". A sensacao nao dura muito e voce instantaneamente
passa para o outro problema, o proximo desafio, fazendo o que for preciso
para gritar "yes!" novamente.
(*) English version
The Bug!: The classic question: How did you get into hacking and how was your
first contact with the scene?
Space Rogue: That depends on how you define hacking. As a very young
child I would take things apart to see what was inside.
I had a large collection of batteries, light bulbs and
other things I used to make flashlights with so that I
could read books after I was supposed to be asleep.
The first computer I ever used was an Osborne 1 that one
of my neighbors had when I was growing up. That is what
I first learned BASIC on. A Commodore PET quickly followed
that when I was in high school. Several years later I had
a Mac SE with a whopping 1Mb of RAM and two 800K floppy drives.
My earliest hardware hack was probably fitting a 20MB hard
drive inside the Mac SE while keeping both floppies.
At some point I got a 2400 baud modem to call BBS's and
it is pretty much history from there.
TB!: What is your opinion about the current scene and infosec industry?
SR: I'm not sure I can really give an opinion about the current scene,
as I am not really involved with it much anymore. I¹ve only been to
one con in the last eight years or so, I don't go to 2600 and I don't
hang out on IRC. (Do people still use IRC?)
As for the Infosec industry it hasn't changed much. Vendors are still
trying to hide the flaws in their products and researches are still
trying to expose them. There is as much snake oil, animosity and
distrust now as there was ten years ago. Unfortunately I don't see
this changing much anytime soon.
TB!: Can you briefly describe how L0pht was born and you ended up
joining the team?
SR: This is an often-told story so I'll try to be brief. Way back in the
olden times of the mid 90's Count Zero and Brian Oblivion rented part
of an old warehouse space to store parts of their computer (i.e. junk)
collection. The rent on the space was more than they could afford alone
so they asked some friends from the local BBS world to join them. I was
one of those people asked to join. At first it was just storage space,
a place for the junk that you didn't want to through away. Of course we
started plugging the stuff in and connecting things to each other.
We soon had a network and a dedicated Internet connection via a 14400
baud modem to the very first ISP in the area. All of this was funded
out of our own pockets. Since the space was an actual old warehouse
loft space it became to be known as the L0pht.
TB!: How do you think security research and industry has changed since
L0pht hit the scene?
SR: Unfortunately not enough. The L0pht was the forefather of
responsible disclosure. We thought it was important to let people know
about security flaws but we also thought the companies creating those
flaws should be given a chance to fix them. At first companies didn't
care so we went public with the flaws. Now ten years later a lot of
companies and researchers have policies about responsible vulnerability
disclosure. This is a good thing.
Unfortunately it is not followed all of the time and there are no
penalties if someone violates the rules. So while on the surface we
have all these shiny new procedures for handling security issues in
reality anyone can do pretty much anything they want with little or
no repercussions.
TB!: L0pht was one of the leading groups in full disclosure movement.
Do you still stand by it? Is full disclosure the best way to force
vendors into developing more secure products?
SR: All companies have one primary goal, make money, without money they
cease to exist. For many companies, not all but most, the achievement
of that goal is paramount beyond all else. Unfortunately disclosure
happens after a product is already made and while it may influence the
development process a little it is most effective to force companies
to stand behind a product and to fix it if it is found to be broken.
To force companies to actually develop better products in the first
place you need to hit them where it hurts, the wallet. I used to
think that free market forces would naturally select those products
that were more secure but the buying public really has little way
to tell if one product is better than an other. Then I thought
that lawsuits were the answer, find a crappy product and sue the
manufacturer. I figured it was only a matter of time before the threat
of lawsuits would force companies to create better products. That
doesn't work either, unless someone dies companies are pretty much
immune legally to the effects of their products (in the US at least).
I think what needs to happen in addition to responsible disclosure
is an official rating or ranking system that is applied to a product
before it is released. Then a consumer can just look for the rating
label to know that an item has met certain criteria and has been certified
by a third party to meet a specific level of security.
TB!: Circa 1999, L0pht went corporate and were accused to sell out. How was
it like having the think-tank acquired by @stake? And why there were
subsequent firings?
SB: Ahh, the sellout question. In my opinion the L0pht had gone as far
as it could in the form that it was. The choice was either "sell out" (as
you put it) or cease to be. I think if the L0pht had continued on the same
path it would have slowly fizzled. So it was either take a risk and "sell
out" and at least try to be something greater or to just slowly roll down-
hill. While I don't think we ever achieved the something greater it was,
in my mind, worth the shot.
It is hard to examine being fired dispassionately without feeling a little
bitter. But when I look at the firing of Dan Geer, myself and a few other
people it seems clear what the reasons were. @Stake, like any company, had
a goal of making money. Dan Geer was rather vocal about the dangers of a
monoculture in computing (i.e. Microsoft), and I, running HNN, was pretty
vocal about everything. I think @Stake realized that it was going to be
kind of hard to make money if everyone hated you. So it made sense, from
@Stake's point of view, to get rid of a few people.
TB!: Testifying before the US Congress was something that in theory could
never happen to a hacker group, especially using their handles rather
than their real names. What was it like?
SR: Well we weren't the first hackers to testify before the US Congress;
Emmanuel Goldstein from 2600 had done it a few years earlier. The whole
thing was rather surreal though. I have a printed copy of the testimony and
reading it now, ten years later, it is almost funny. Almost everything we
said then is still true today. This one line is pretty cool "Senator
Thompson: 'I hope my grandkids do not ask me who my witnesses were today
and I reply, Space Rogue'. [Laughter]"
TB!: Hacker News Network was probably the best, fastest and reliable source
of information about the computer underground. Why did you stop with
the web site? Any plans to put it up again?
SR: Honestly, I miss HNN. But it was one hell of a lot of work. I did try
to start it up again about five years ago under the name 'Hacker Intel'.
After six months the lack of traffic just didn't justify the time I was
investing in it so I shut it down. Now I am running WordPress on my old
site, spacerogue.net, while I don't have the time to keep it as updated
as HNN at least I can get the big stories out there.
TB!: How do you see hacking within 10 years? Can you predict something?
SR: I still think the thin client is coming back. Look for an increasing
reliance on hosted applications and some huge security issues because
of it. The emergence of the PWAN (personal wireless network) is only
just beginning with Bluetooth, Zigbee, wireless USB, etc. Security
issues with those technologies especially people attempting to attack
them from a distance. SPAM and bot-nets will get worse before they get
better. The advances in forensics recently have been mind-boggling.
Look for that to continue.
TB!: Do you regret anything of your time as hacker?
SR: I regret not being able to spend more time to learn more stuff. Life just
seems to get in the way.
TB!: Share with us your most memorable experience with hacking
SR: All the times when you finally figured something out and got it to
work and you just yell, Yes! The feeling doesn't last long and
your instantly onto the next problem, the next challenge, doing
whatever it take so that you can again stand up and yell, Yes!