DEF CON 26 (Update)

Raz do roku w Las Vegas odbywa się konferencja DEF CON - jeden z największych na świecie (jeżeli nie największy) konwent hackerów. Przez 26 lat DEF CON przekształcił się jednak w coś znacznie ciekawszego, oferując uczestnikom mini konferencje towarzyszące (tzw. Villages): AI, IoT, Wireless, Crypto & Privacy, Biohacking, Car Hacking i inne. W tym roku udało mi się po raz pierwszy odwiedzić DEF CON, a poniżej znajduje się zapis z tej przygody.

Ale dlaczego DEF CON?

Zanim zainstalowałem swojego pierwszego Linux’a (Slackware 3.?) doszły mnie słuchy o różnych “zinach” (elektronicznych magazynach) - w tym H@ckpl, który zrobił na mnie największe wrażenie.

Jedyne co pamiętam z tamtych czasów to fakt, iż nie było łatwo zdobyć hasła, a kiedy w końcu (dzięki irc) to się udało - pochłonęła mnie ta “inna” strona komputera.

Dalej szybko trafiłem na 2600, Phrack i inne, a projekcja filmu Hackerzy stała się moim rytuałem. Hackers movie
Mimo ogromnej fascynacji “hack sceną”, moje zaściankowe i kilkutysięczne miasteczko rodzinne nie tworzyło najlepszych warunków do rozwoju tego typu zainteresowań (może to i dobrze? ;)).
Postanowiłem więc dać upust mojej fascynacji, oddając pracę semestralną z informatyki (kilka funkcji i wykresów w Excel 5), jako DOSowy program napisany w C, imitujący H@ckpl zine. Wyobraźcie sobie jak mój nauczyciel od informatyki zobaczył powoli rysujący się ekran .....”P o d a j h a s ł o: []”. Do dziś pamiętam jego frustrację i moje zdziwienie, że nie wciska żadnego klawisza. Nawet nie próbuje... Hasła nie było, a wraz z uderzeniem każdego klawisza pojawiał się napis: wciśnij Enter... Niestety, z tego co pamiętam, dobrej oceny także zabrakło. Zdołowany tym faktem i dodatkowo samotnością w zainteresowaniach, marzyłem, aby spotkać pasjonatów takich jak ja, a niedoścignionym ekstremum spełnienia owego marzenia była - wizyta na DEF CON.

Lata mijały, spełniło się moje największe marzenie, by otoczyć się grupą geeków i pasjonatów (tak powstał TEONITE), ale pragnienie odwiedzenia DEF CON pozostało.

7go sierpnia tego roku wylądowałem w Las Vegas - poniżej znajdziesz moje przemyślenia z tej przygody jak i przygotowań do niej. Zanim zaczniesz, pozwól mi na krótki disclaimer: ani ja, ani nikt w zespole TEONITE nie jest z branży InfoSec. Jako software house korzystamy z usług firmy iSEC (nie tylko z powodu profesjonalnego podejścia, ale głównie dlatego, że podobnie jak w TEONITE firmę tworzą pasjonaci).

Przygotowania do wyjazdu na DefCon

A Marcin powiedział... Pytanie od Marcina, po wrzuceniu info w Social Media, że jadę na DEF CON.

Przed wyjazdem czytałem wiele rekomendacji dotyczących samego DEF CON. Najczęściej poruszaną kwestią było zabezpieczenie swojej prywatności, czyli:

  • zabierz ze sobą burner laptop/telefon (w skrócie urządzenia, które mogą zostać zhackowane/zgubione/..),
  • płać tylko gotówką - najlepiej nie zabieraj kart (a w szczególności nie używaj hotelowych ATM).

Zgodnie z zaleceniami przygotowałem zestaw konferencyjny, w postaci starego Lenovo X220 i iPhone 5, a do bagażu spakowałem tylko niezbędne rzeczy. DEF CON nie był moim jedynym przystankiem w Stanach (po konferencji podróżowałem do Los Angeles i San Francisco, odwiedzając naszych klientów), zatem karta firmowa wylądowała w RFID cover.

W trakcie instalacji burner laptopa uzmysłowiłem sobie jedną kwestię:

nieważne gdzie podróżuję - do tej pory nie przemyślałem dogłębnie kwestii bezpieczeństwa ,co prawda mam zaszyfrowany dysk, ale nie zabezpieczając choćby boot loader czy bios - zostawiam “otwartą furtkę”.

Poza tym, utrata w podróży mojego “głównego” laptopa z pewnością przysporzyłaby mi co najmniej nieco stresu (dane mam zaszyfrowane, ale może, nieee...a może...).
Dzięki przygotowaniom do DC postanowiłem, że nie będę wyjeżdżał z głównym laptopem - od tej chwili to burner stał się moim towarzyszem podróży, a wszystkie laptopy mają od dziś GRUB/bios password.

Czwartek - zdobyć wejściówkę

Na lotnisku w Londynie (przed wylotem do vegas) spostrzegłem charakterystycznego chłopaka z laptopem wyklejonym ciekawymi naklejkami. Pokazałem więc mu kciuka, śląc kudos za naklejki:

Kudos

i niemal natychmiast usłyszałem: Hey! Going to DEF CON? I tak poznałem Andiego, jednego z goons. Po długich i ciekawych rozmowach, zgodnie z jego poradą: “If you go around 6:00 a.m. you should get the badge in few hours. Don’t go later!”. Wstałem o 3:00 rano (jet lag był pomocny), udałem się do Caesars Palace przed 5tą. Każdy, kto był w Vegas wie, że hotele tam to zupełnie inna skala - mijając dziesiąty zakręt kolejki, szerokiej na 5 osób - jedyne co mi przyszło do głowy to: F**CK.

Kolejka po badge Kawałek kolejki po DC 26 badge/wejściówkę

Long story short - organizatorzy w tym roku zmienili rejestrację otwierając ~20? stanowisk, dzięki czemu około 6:45 miałem już wejściówkę:

DC 26 Badge DC 26 - badge

Podobno to był pierwszy rok, kiedy rejestracja szła tak szybko i sprawnie, dzięki czemu, osoby przybywające później nie stały w kolejkach.

Czwartek - Cyber spectrum meetup

Jestem pasjonatem radia (w szczególności Software Define Radio), nie mogłem zatem ominąć Cyber Spectrum Meetup, który wyjątkowo odbywał się nie w SF, a na DEF CON. Tam wreszcie miałem okazję poznać tego oto Pana - Balint Seeber:

Me & Balint

Spotkanie z Balint Seeber - https://www.instagram.com/p/BmSZkkjHPKm/

Czy wiesz - czy nie wiesz kto to jest, każdego gorąco zachęcam, aby sprawdził tę stronę: http://spacecraftforall.com/ (w szczególności cały “film” “See the journey”) - zawarte tam treści wiele wyjaśnią, w dość przystępnych słowach. .

Konferencja (piątek/sobota)

“Problem” gigantycznych kolejek powrócił jeszcze w trakcie konferencji. Główne sale oficjalnych prelekcji, otwarcie vendor area i niektóre “wioski” były bardzo oblegane. Na szczęście oficjalne prelekcje są nagrywane i publikowane - zatem, zgodnie z zainteresowaniami, postanowiłem najwięcej czasu spędzić w Wireless Village, zarówno na prezentacjach, jak i na WCTF (Wireless Capture The Flag). Prezentacje jak zawsze się różnią, w zależności od doświadczenia i zainteresowań - ja z pewnością znalazłem kilka ciekawych.

Jeśli ktoś mnie zapyta o jeden powód, dla którego miałbym wrócić na DC, to odpowiem, że jest to WCTF.

WCTF (Wireless Capture The Flag)

W sieci znajdziecie mnóstwo opinii na temat tego, że DEF CON Capture The Flag jest przygotowany na wysokim poziomie (nasz rodzimy akcent i zarazem świetne wytłumaczenie DC CTF), natomiast WCTF organizowany jest przez Wireless Village i rządzi się innymi zasadami. Jeżeli nie wiesz, co to jest WCTF tutaj znajduje się szczegółowy opis.
WCTF jest przygotowany naprawdę świetnie - zadania są ciekawe i żeby wygrać (albo choćby sensownie powalczyć) trzeba de-facto przyjechać z całą drużyną, albo stworzyć ją na miejscu. Każdy kto mnie zna, wie, że jedną z moich charakterystycznych cech jest mój plecak i sprzęt (tak, naprawdę to wszystko noszę):

Mój plecak

Mój codzienny plecak - https://www.instagram.com/p/BjGJU4GHFHj/

Gdy tylko zobaczyłem osprzęt i poziom przygotowania niektórych drużyn na WCTF... muszę szczerze powiedzieć, że czułem się jak,nawet nie amator, bardziej asystent amatora.
Stąd mój “apel”? - jeżeli interesuje Cię radio, anteny i fun fun fun - może zbudujemy drużynę na WCTF 2019? ;-)

Call me

WCTF oprócz merytorycznego aspektu ma jeszcze inny, bardzo cenny: budujący relacje.

Spędzając czas przy okrągłych stołach poznałem kilka ciekawych osób, także tych które na co dzień obserwuję w social media. Nie ma opcji, aby przy konferencji tej skali nie poznać naprawdę interesujących ludzi - trzeba tylko chcieć.

Jeżeli chodzi o recap z WCTF - najważniejsza zasada, jaką wyniosłem z konferencji to:

bądź przygotowany i testuj swój sprzęt.

Jednym z moich osobistych projektów ostatnich miesięcy, było stać się „uniezależnionym od sprzętu”, co zrealizowałem dzięki (w bardzo dużym upraszczeniu): ArchLinux, git i yubikey, Synology Cloud i paru własnym narzędziom. W konsekwencji instalacja i konfiguracja burner laptopa odbyła się w dużej mierze automatycznie, stawiając moje środowisko (oczywiście bez prywatnych danych). Good job Robert - NOT!
Nie przetestowałem tej konfiguracji. Na miejscu okazało się, że sprzęt, który zabrałem: LimeSDR mini i stary lenovo x220 - głównie przez brak usb 3.0,wolny i stary dysk talerzowy, na niewiele się zdał. Do tego założyłem, że nowo zakupiona Alfa AWUS036ACH ruszy bez problemu na ArchLinux, a tak się nie stało. Wniosek: burner musi być porządny i przetestowany.

Badge Life

DEF CON znany jest także z tzw. Badge Life:

Badges

Badge cz.1

Badge cz.2

Badge cz.3

Badge cz.4

Jako hobbysta elektronik/maker nie mogłem odmówić sobie szału polowania na badge:

Mój Badge Life z DC 26

Mój BadgeLife z DC 26 - https://www.instagram.com/p/BmV5eUAnUbR/

Subiektywnie na koniec

DC oferuje dużo, dużo więcej niż to, co widać na oficjalnych programach imprezy (inne “wioski”, oficjalne i nieoficjalne/zamknięte imprezy...). Organizatorzy często przypominają o “3/2/1 rule” (3h of sleep, 2 meals a day, 1 shower), która przed DC brzmiała dla mnie infantylnie. Dzisiaj, spoglądając “przez ramię” i wiedząc ile mnie ominęło - nabiera ona sensu.
Poza tym ilość i różnorodność uczestników powoduje, że przy odrobinie otwartości można poznać wielu fascynujących indywidualistów/specjalistów - a (przynajmniej ze świata SDR) na DC przybywa znakomita większość, znanych bardziej lub mniej, osobistości.
Mam nadzieję, że DEF CON zagości na stałe w moim kalendarzu imprez wyjazdowych (obok FOSDEM/CCC i innych).

Facebook LIVE

Jeśli zainteresował Cię mój wpis, to zapraszam do obejrzenia nagrania z transmisj live, podczas której opowiedziałem o swoich doświadczeniach z tej wyjątkowej konferencji:

click to subscribe
hire us

Let’s talk about Mobile Apps

We’d love to design, develop and release them for you.

Highest DevOps Standards

Our team wield the right skills to make things work.

Angular magic in the making

Most flexible development technology for stunnig results.

Web Apps cooked the right way

The ultimate combination of code, design and user experience.

Django REST Framework

TEONITE develops, supports and donates open source projects.