DefCon 24, czyli jak bawią się Hackerzy w Las Vegas!

Zapraszam na pierwszą część mojej relacji z konferencji Defcon 24!

DefCon, jak wspominałem trochę nieskładnie w nagrywanym na szybko intro do tej relacji, to największa „uberkonferencja” informatyczna na Świecie.

Wstęp

Czym naprawdę jest DefCon?

DefCon odbywa się tradycyjnie, bo już od 24lat, w Las Vegas, w stanie Nevada w USA i jest nazywana największą konferencją hackerską. Gdybym postawił tutaj kropkę, i przeszedł dalej, zostawiłbym Was tkwiących w większości w błędzie, ponieważ media na przestrzeni lat skutecznie wynaturzyły słowo hacker przypisując mu wyłącznie negatywne konotacje.
Nie będę teraz rozwodził się nad semantyką i tłumaczeniem kim był/jest hacker, może zrobię o tym oddzielny odcinek z cyklu „Informatyka dla nieinformatyków”, ale jeśli chodzi o DefCon, to bardzo ważne jest by zrozumieć, jest on kierowany nie tylko do specjalistów od bezpieczeństwa komputerowego (zarówno tych zabezpieczających i tych łamiących zabezpieczenia), ale jest przede wszystkim kierowany jest do pasjonatów komputerów i nowych technologii.
Dlatego też moim zdaniem to jest największa i najlepsza Informatyczna konferencja obecnie na Świecie.
Dla prawdziwego pasjonaty IT, jest tym czym np. Mekka dla Muzułmanina, Defcon po prostu trzeba zobaczyć.

Moja relacja to tylko moja perspektywa…

Swoją relację podzielę na poszczególne dni, które spędziłem w Vegas, tak by w pełni oddać Wam moją perspektywę na tą konferencję, bo jak sami organizatorzy przyznają, DefCon jest dla każdego czymś innym.
Nie wiem czy wspomniałem, ale w tym roku było ponad 22tys uczestników. Tak, dobrze usłyszeliście, ponad 22 tysięcy ludzi mających mniejszego czy większego hopla na punkcie komputerów i nowych technologii. Dokładnych liczb nie ma, ponieważ jedną z zasad DefConu jest brak rezerwacji, czy kupowania biletów on-line. Wszyscy uczestnicy, muszą odstać swoje w czwartek rano w kolejce i tylko w gotówce zapłacić za upragniony identyfikator, tzw. „badge”, gwarantujące wejście na teren konferencji przez kolejne 4dni. Tak, aż 4 dni i to prawie non-stop!
Tak więc biorąc pod uwagę skalę tego wydarzenia i ilość zapewnianych atrakcji, bo tych była cała masa, o czym za chwilę, niestety nie sposób było zobaczyć wszystko, a już na pewno nie można było we wszystkim uczestniczyć. Każdy kto był wyniósł zupełnie inne doświadczenie i to jest naprawdę niesamowite, że impreza o tej skali, potrafi zaspokoić indywidualne potrzeby każdego pasjonata 🙂

Lokalizacja

Tegoroczna Impreza odbywała się, jak już wspomniałem w Las Vegas. w hotelach Bally’s i Paris.
Hotele te są ze sobą połączone tworząc jeden wielki kompleks i nie ma problemu przy przechodzeniu z jednego do drugiego. Jednakże, trzeba mieć świadomość, że chodzić trzeba. I to dużo. Ponieważ w telefonie mam wbudowany krokomierz mogę śmiało Wam powiedzieć, że 5km dziennie to było absolutne minimum jakie uzyskałem przez te 4dni, w niektóre dni dobijałem do 10km, co było już dla mnie wyzwaniem, głównie przez problemy z nogami jakich nabawiłem się już w godzinę po wylądowaniu… ale o tym szczegółowej, dziennej relacji…

Organizacja

Mimo sporych rozmiarów, organizacja była sprawna. Momentami miałem wrażenie, że nawet trochę przesadzona, bo „czerwone koszule”, czyli tzw. „DefCon Goons”, dbający o porządek i sprawną organizację, czasem odnosiłem wrażenie, że podchodzą do swojej roli zbyt służbiście, zbyt pedantycznie wywiązując się ze swojej roli. Ale w końcu, to impreza na 22tys osób, więc może jestem w błędzie i był to jedyny sposób by zapanować nad taką publicznością?
Tak czy owak, przez cały czas trwania konferencji wszystko z mojej perspektywy działało w porządku, wszelkie wydarzenia czy konkursy były tam gdzie być powinny i odbywały się na czas. To najczęściej ja nie zdążałem tam gdzie chciałem i ciągle towarzyszyło mi uczucie niespełnienia, że jeszcze tego nie widziałem, czy tamto mnie ominęło. Niestety jak wspominałem, nie da się zobaczyć i doświadczyć wszystkiego…

Co więc organizatorzy przygotowali w tym roku?

Prelekcje, tudzież wykłady

Zacznijmy od podstaw każdej konferencji a więc od prelekcji, tudzież wykładów.
Te podzielone były na 5 sal konferencyjnych (nie licząc wykładów specyficznych dla pod konferencji, takich jak „TiaraCon” czy „QueerCon”, o których jeszcze wspomnę), a więc były to ścieżki 1-3 w części konferencyjnej hotelu Paris, ścieżka „DefCon 101” oraz „Skytalks”.
Osobiście byłem zaledwie na dwóch czy trzech wykładach, bo zgodnie z krążącą po konferencji anegdotą/powiedzonkiem „There are no talks on DefCon”, czyli w wolnym tłumaczeniu: „nie ma wykładów na DefConie”, sugerującą dobitnie, że ta konferencja nie polega na siedzeniu kamieniem na sali wykładowej.
Co więc poza wykładami?

Warsztaty

Oczywiście warsztaty. Na te trzeba było się dodatkowo zapisywać, ich dostępność była bardzo ograniczona, raptem około 2500miejsc, co przy 22tys odwiedzających nie było wystarczająco i wiele osób musiało obejść się smakiem. Ja na szczęście należałem do grona szczęśliwców, tudzież ludzi upartych na tyle by odstać swoje w kolejce i załapałem się na parę bardzo ciekawych warsztatów.
Kolejną aktywnością były tzw. „Demo Labs”, czyli prezentacje przy stolikach. Odbywały się w sobotę, ale niestety kolidowały u mnie z warsztatami, tak więc ja z nich nie skorzystałem.
Natomiast jedną z najlepszych aktywności, moim zdaniem, były tzw. wioski, z ang. „villages”. Były to wydzielone tematyczne pokoje, czy stoliki na sali, gdzie można było po prostu spotkać się w gronie osób mających podobne zainteresowania.

Wioski tematyczne – esencja DefCon?

Wiosek było sporo, postaram się pokrótce je wymienić i scharakteryzować. Nie byłem na wszystkich, bo po raz kolejny wspomnę, nie było na to czasu. Te kilka, na których udało mi się być, opiszę szczegółowo w mojej szczegółowej dziennej relacji, gdzie dzień po dniu opowiem Wam gdzie byłem i co widziałem.
Ale wracając do wiosek, w porządku alfabetycznym były to:

Biohacking village

Biohacking village, czyli wioska dla osób zainteresowanych połączeniem biologii i informatyki. Biohacking, jak dobrze zrozumiałem, polega na usprawnianiu własnych biologicznych możliwości, umiejętności, zdrowia czy samopoczucia. Niestety nie udało mi się na nią dotrzeć by ją zwiedzić.

Car Hacking Village

Następna to Car Hacking Village, czyli wioska hackowania samochodów. Ponieważ jestem sporym wielbicielem motoryzacji, mam nawet osobny kanał na YouTube na który czasem coś związanego z samochodami wrzucam i prowadzę również portal o autach amerykańskich, to oczywiście była to jedna z wiosek w których spędziłem najwięcej czasu. Udało mi się nawet porozmawiać z autorem podręcznika hackera samochodowego, Craigiem Smithem, który oprócz autografu, zrobił dla mnie prezentację tego oto widocznego na zdjęciu zestawu do hackowania sieci samochodowej sieci CAN. Craig oczywiście nie był jedyną osobą z którą miałem przyjemność porozmawiać i otrzymać indywidualną prezentację. Podczas pouczających dyskusji dowiedziałem się w jaki sposób dokonuje się tzw. inżynierii zwrotnej nowoczesnych kluczyków samochodowych, czyli ataku, który kilka tygodni VW potwierdził jako skuteczny i umożliwiający otworzenie większości aut tej marki.
Fantastyczne miejsce i fantastyczni ludzie!

Crypto & Privacy Village

Kolejną wioską były Crypto & Privacy Village, czyli wioska zorientowana na tematy związane z kryptografią. Głównie z tego co widziałem odbywały się tam mini wykłady, ale podobno były też i mini warsztaty. Przyznaję, że nie byłem tam zbyt długo, zaliczyłem chyba tylko jedną prelekcję.

Hardware Hacking Village

Idąc dalej mamy wioskę Hardware Hacking Village, czyli wszelkiej maści hackowanie sprzętowe. Odbywało się na głównej sali wiosek i konkursów, a stoliki wyposażone były w akcesoria do lutowania, oraz kilka różnych pudełek z przeróżnymi układami scalonymi, z których można było sobie skanibalizować jakieś ciekawe układy scalone czy inne elementy elektroniczne. Niestety ilekroć tamtędy przechodziłem, to wszystkie stanowiska były zajęte, więc mam mały niedosyt jeśli chodzi o zabawę w modyfikacje sprzętowe, tak więc może w odkładanym już od jakiegoś czasu cyklu „AjbiSOFT po godzinach” nadrobię te zaległości.

IoT village

Kolejną, również związaną z hackowaniem sprzętu była tzw. IoT village, czyli wioska Internetu Rzeczy, gdzie odbywały się zarówno wykłady, warsztaty, jak i konkursy. Jednym ze znamiennych wydarzeń, było shackowanie wózka inwalidzkiego, i termostatu który wysyłał malware, czyli złośliwe oprogramowanie. To tylko potwierdza, jak istotne jest tworzenie produktów biorąc pod uwagę zasady bezpieczeństwa komputerowego. Oczywiście hackowane były również bardziej popularne urządzenia typu domowe routery, podmieniając im firmware, czyli podstawowe oprogramowanie, ale to raczej żadna nowość i sami nawet w AjbiSOFTcie robimy podobne rzeczy na porządku dziennym, np. przerabiając domowe tanie routery na tanie i jednocześnie bezpieczne bramki VPN.

Lockpicking Village

Kolejną wioską była Lockpicking Village, czyli wioska otwieraczy zamków. Nie wiem jak to bardziej składnie po polsku powiedzieć, by oddać istotę rzeczy jaką jest po prostu frajda z zabawy wytrychami i otwierania za ich pomocą różnych prostych zamków i kłódek. Naprawdę godzina zabawy w obrębie tej wioski jednoznacznie uświadomiła mi jak istotne jest posiadanie atestowanych zamków. Te tanie marketowe otwiera się nawet w kilka sekund. To nie żart, może nawet zrobię o tym filmik z małą demonstracją…

Social Engineering Village

Idąc dalej mamy Social Engineering Village, czyli wioskę poświęconą inżynierii społecznej. Czyli jak mawiał sam Kevin Mittnick, technice łamania ludzi nie komputerów. To często ludzie są najsłabszym ogniwem w zabezpieczeniach komputerowych i na warsztatach i wykładach na tej wiosce można było się dowiedzieć od praktyków, ludzi przeprowadzających pen testy jakie techniki stosują by łamać ludzi i jak szkolić ludzi by takie ataki nie były możliwe.

Tamper-evident Village

Kolejną wioską był Tamper-evident Village czyli wioska poświęcona technikom zabezpieczeń fizycznych. Coś dla fanów seriali z serii CSI. Było między innymi otwieranie kopert bez naruszania plomb, konkurs dostania się do skrzynki zabezpieczonej odpowiednio itp. aktywności. Tak więc mimo że np. nowoczesny sprzęt serwerowy posiada czujniki otwierania obudowy, to nie gwarantuje to, że nie da się otworzyć tejże obudowy tak, by ominąć czy oszukać ich działanie…

Wireless Village

Kolejną wioską było Wireless Village, czyli wioska poświęcona wszelkim komunikacjom radiowym. Zarówno popularnemu standardowi WiFi, jak i Bluetooth, jak i innym. Każdy fan radiokomunikacji i zabawy w eterze znalazł tam coś dla siebie.
Ciekawostką, o której nie wspomniałem wcześniej było Data Deduplication Village, czyli wioska duplikacji danych. Osoby, które przybyły na DefCon przygotowane, mogły zostawić kilka paru terabajtowych dysków w wyznaczonym miejscu, a potem następnego dnia je odebrać wypełnione po brzegi przeróżnymi materiałami.

Packet Hacking Village

Na koniec został Packet Hacking Village, czyli wioska hackowania pakietów. Innymi słowy dekodowanie protokołów, podsłuchiwanie wszelkich form komunikacji i w przypadku wykrycia nieszyfrowanych danych publikacji ich na ścianie owiec, czyli ścianie wstydu, ponieważ każdy, ktor w dzisiejszych czasach nie szyfruje swoich połączeń i przesyła hasła otwartym tekstem, jest uznawany, w pewnych kręgach, za owcę, tudzież nieświadomego zagrożeń baranka… Wszystkie te konkursy i aktywności miały oczywiście za zadanie promowanie szyfrowania i dbania bezpieczeństwo własnych danych. Odbywały się warsztaty i wykłady…

Jakie inne rozrywki?

Konkursy

Wioski omówiłem w miarę szczegółowo, bo w moim odczuciu były najciekawsze, ale oczywiście to nie wszystko. Konkursów nie będę już szczegółowo omawiał… jedynie pozwolę sobie pokazać Wam w przewodniku co było..

O największym konkursie, czyli o finale „Capture the Flag”, opowiem przy szczegółowej relacji dziennej.

Wydarzenia

Omawiając też wydarzenia z czwartku opowiem też o największym wydarzeniu, jakim był niechybnie „Cyber Grand Challenge”. Poza nim, jak widzicie w przewodniku było też kilka mniejszych.

Kino

Dla fanów kina też się coś znalazło, ponieważ praktycznie co wieczór był organizowany tzw. movie night, czyli kino. Jakby był ktoś ciekawy, to tu jest repertuar, większość filmów już widziałem i z tej formy rozrywki nie skorzystałem, ale jest na tej liście jeszcze kilka pozycji do obejrzenia..

Giełda

Jeśli ktoś miał nadmiar gotówki, to była możliwość kupienia przeróżnych fajnych gadżetów w tzw. „Vendor Area”, czyli obszarze dla wyselekcjonowanych wystawców. Można tam było kupić naprawdę przeróżne rzeczy, Zaczynając od koszulek, czapeczek czy innych elementów ubioru, poprzez sprzęt komputerowy, zarówno współczesny, jak i ten retro, wytrychy, narzędzia do pentestingu, a nawet całą w pełni funkcjonalną stację bazową sieci komórkowej. Tak więc wszyscy od zupełnych amatorów po wyspecjalizowane służby specjalne znalazł coś dla siebie. Szerszą relację zdam w kolejnym z odcinków.

Imprezy

Na koniec ciężkiego dnia na DefConie, gdy już zapadła noc, oczywiście odbywały się imprezy. Każdego dnia było kilka różnych imprez do wyboru w różnych klimatach muzycznych i nie tylko.
Moją ulubioną była impreza bodajże w sobotę, gdy cała sala bawiła się przed sceną na której stały superkomputery biorące udział w „Cyber Grand Challenge”, własność DARPA (Departamentu Obrony USA), o wartości bagatela 55milionów dolarów. Nawet udało mi się cyknąć fotkę ze zwyciężcą, czyli „Mayham’em”. Jeśli kiedyś powstanie „Skynet” znany z Terminatora to wiedzcie, że to jego sprawka, od niego wszystko się zaczęło…

Komentarze