Van 02 augustus tot en met 09 augustus liepen er rare figuren in de toch al rare stad Las Vegas rond. Achtereenvolgend werden er het Black Hat- en het Defcon-congres georganiseerd – de evenementen voor hackers wereldwijd.
Het Defcon-congres wordt eens per jaar gehouden in Las Vegas. Voorafgaand aan het hackerscongres vindt de Black Hat-conferentie plaats – een congres waar de fabrikanten van security software en hardware op af komen. Waar Black Hat vooral ingaat op het bestrijden van hackaanvallen, gaat Defcon juist in op het uitvoeren van hackaanvallen. Het is dan ook niet vreemd dat er flink wat agenten van veiligheidsdiensten rondlopen. Hier wordt in de FAQ van Defcon dan ook voor gewaarschuwd. Daarnaast wordt het fotograferen van hackers (zowel portretten als groepsfoto's) afgeraden tenzij de desbetreffende personen expliciet om toestemming wordt gevraagd.
Hacking for fun
Defcon draait niet alleen om hackerstechnologieën, maar ook om fun. Er worden allerlei evenementen georganiseerd voor en door de hackers. De dag voor het congres wordt er bijvoorbeeld een Defcon Shoot georganiseerd, waarbij de geeks met allerlei geschut doelen zoals watermeloenen en sinaasappels kapot schieten. De gebruikte wapens lopen uiteen van lichte pistolen tot AK47 en M4 geweren, die ofwel zijn gehuurd bij de schietclub ofwel zijn meegenomen door de deelnemers zelf. Gedurende een ochtend wordt er niet alleen veel geschoten maar ook veel gelachen en gepraat – een leuke start van Defcon.
In de conferentieruimten van het Riviera Hotel (langs de Las Vegas Boulevard ofwel The Strip) vinden tijdens Defcon allerlei presentaties plaats over uiteenlopende technische onderwerpen. De sprekers zijn veelal techneuten met een hoog kennisniveau, waarbij de hackersmentaliteit naar boven komt via technische grappen maar ook een grof taalgebruik. De onderwerpen van de presentaties komen vooral neer op het kraken van een bepaalde beveiliging, en is daarom erg praktijk gericht. Iedere exploit met een bepaalde mate van genialiteit wordt met luid gejuich uit het publiek ontvangen.
Capture The Flag
Aangezien het aantal onderwerpen tijdens deze Defcon-sessie vrij groot is, is door de organisatie besloten het programma op te delen in vijf verschillende tracks. Daarnaast zijn er tal van ruimtes waar allerlei activiteiten worden ondernomen. Legendarisch hierbij is de 'Capture The Flag'-wedstrijd, waarbij zeven hackerteams uit verschillende landen een door Defcon neergezette infrastructuur proberen over te nemen.
De hackerteams schrijven hiervoor tijdens het event de nodige code en expoits, waarbij het winnende team degene is met de meest succesvolle pogingen. Tegelijkertijd wordt de te hacken infrastructuur verdedigd door het Defcon-team. Voor een buitenstaander is het niet al te spannend om te kijken naar de hackpogingen (wat veel programmeerwerk met zich mee brengt), maar de donkere sfeer in de ruimte geeft een leuk inzicht in de underground-scene van de hackers. Omdat het hier gaat om echte hackers, zijn camera's niet toegestaan in de ruimte.
Een andere leuke nevenactiviteit is de Lock Picking room, waar continu demo's worden gegeven voor het kraken van sloten maar ook het openen van handboeien. Tijdens een TCP/IP Drinking Game nemen teams samengesteld uit het publiek het tegen elkaar op door zoveel mogelijk vragen over netwerk-gerelateerde zaken goed te beantwoorden. De vragen reiken uiteen van hoe een 'land attack' werkt (met als humoristische antwoord 'by sea') tot de betekenis van het 13e veld van een TCP-pakket. Wat minder technischer was de Hackers Jeopardy-quiz, waarbij er vragen uit de categorieën 'Unix', 'Movie Quotes', 'Fucktards' en 'Nikola Tesla' (die een paar jaar geleden het patent van de radio kreeg toegewezen, terwijl dit jarenlang om naam stond van Marconi).
Veiligheid binnen bedrijven
Een interessante presentatie in een van de tracks behandelde het opschroeven van veiligheidsmaatregelen binnen de bedrijfswereld. Binnen de meeste enterprise-omgevingen heerst er een 'eilandjespolitiek' waarbij – wat betreft security – vaak meer tijd en geld wordt besteed aan het oplossen van de gevolgen van hackaanvallen, in plaats van de oorzaak van deze problemen bij de wortel aan te pakken. Vaak gaat het hierbij om een gebrek aan individuen die zich verantwoordelijk maken voor belangrijke security-gerelateerde onderwerpen.
Dit gebrek aan innovativiteit is funest aangezien de hackerwereld zich veel sneller ontwikkeld. Tijdens de talk werd bijvoorbeeld het nut van wachtwoorden in twijfel getrokken: wachtwoordtechnologieën hebben de nare eigenschap keer op keer gekraakt te worden, waarbij de vraag geopperd moet worden of het hele fenomeen van wachtwoorden niet vervangen moet worden met een ander mechanisme. De introductie van fingerprint-authenticatie is een mooi innovatief voorbeeld (even niet gekeken naar de huidige security problemen).
Daarnaast werd ook luid gelachen om het onderwerp van certificeringen. De meeste techneuten nemen certificering niet serieus aangezien een papiertje nooit praktijkervaring kan vervangen. Ik noem dit ook vaker het 'Microsoft Certified Professional'-effect, omdat veel beheerders die dat certificaat hebben behaald bij lange na niet capabel zijn om goed beheer uit te voeren.
De DNS-exploit van Dan Kaminsky
Tot de hoogtepunten behoort de presentatie van Dan Kaminsky over de werking van zijn DNS Cache Poisoning hack waardoor vrijwel iedere DNS-server op het Internet tot upgrade gedwongen is. Tijdens de presentatie wordt niet uitgelegd hoe de exploit kan worden toegepast, maar wordt meer besproken welke gaten DNS momenteel vertoont. Alhoewel DNS momenteel een van de belangrijkste services op het internet te noemen is (tal van applicaties zijn afhankelijk van de correcte werking van DNS), de architectuur van de service vertoont fundamentele fouten die nooit zijn opgelost. Het is heel goed mogelijk dat de DNS-exploit van Dan Kaminsky slechts het topje van de ijsberg is. Hopelijk dwingt het de industrie om na te denken over een veiliger alternatief.
Het meest opmerkelijke over de DNS-exploit is dat vrijwel iedere DNS-server kwetsbaar is voor de aanval – bijvoorbeeld moeten zowel BIND (de meest gebruikte DNS-software op Unix-servers) als Windows DNS Server geüpgrade worden. Maar alhoewel er momenteel veel media-aandacht is gegeven, zijn nog steeds veel servers niet gepatcht.
De laksheid bij bedrijven als het gaat om beveiliging komt verschillende keren terug in andere sessies. Hackers zien zichzelf niet als criminelen, maar meer als computerhobbyisten die de veiligheid van hardware en software proberen te verbeteren door deze te kraken. Dat professionele bedrijven hier niet gretig gebruik van maken is misschien te wijten aan onbegrip, angst of simpelweg onwil. Maar het duidt wel op een houding die wordt vergeleken met een houding van voor de opkomst van het internet.
Tijdens een presentatie genaamd 'Internet Wars 2008' werd deze situatie besproken met als belangrijkste hoofdmoot dat het doorvoeren van updates en upgrades niet voldoende was ingeburgerd. De presentatie was meer een samenspel tussen een panel op het podium en het publiek. Dan Kaminsky (onderdeel van het panel) merkte hierbij wel op dat het probleem ook terug te herleiden is naar het feit dat software vaak moeilijk geüpgrade kan worden. Software-upgrades zouden dus zo makkelijk moeten zijn dat het opzetten van een patchbeleid kinderspel is.
Mobile hacking
Tijdens een andere sessie werd uitgelegd hoe op afstand een wireless netwerk kon worden gehackt. Dit werd gedaan door een reguliere iPhone aan te passen en per post rond te sturen in de originele verpakking. De iPhone heeft een batterijduur van 1,5 dag, maar met een extra batterij die wonderbaarlijk genoeg precies in de originele verpakking past kan de iPhone vijf dagen lang aan blijven staan.
De iPhone wordt vervolgens, compleet met SSH-server en wireless detection software, via een postorderbedrijf als FedEx of UPS opgestuurd naar een bedrijf. Daar blijft het pakketje meestal gedurende enige tijd op de postafdeling liggen. Gedurende deze tijd gaat de iPhone zelfstandig op zoek naar draadloze netwerken. Zodra een netwerk is gevonden, probeert hij een connectie op te zetten, waarna de makers van deze geniale uitvinding op de hoogte worden gesteld.
Overige onderwerpen
Het aantal onderwerpen tijdens Defcon is enorm: Het reikt van een bespreking van het nut (of nutteloosheid) van CAPTCHA's tot het genereren van de perfecte wordlist voor John the Ripper (een bekende wachtwoordkraker). Iemand heeft een JavaScript-obfuscator gemaakt waarmee JavaScript-code verborgen kan worden door de ASCII-karakters te converteren naar tabs en spaties, terwijl tijdens een andere presentatie wordt gedemonstreerd hoe C#-programmacode via SQL Injection-exploits gecompileerd kan worden binnen de geheugenruimte van Microsoft SQL Server.
Ook wordt de befaamde OpenSSL-bug binnen Debian tot in detail uitgelegd – deze bug die zich binnen de RNG (Random Number Generator) van OpenSSL bevindt maakt tal van exploits mogelijk op bekende applicaties als OpenSSH en Apache onder Debian of Debian-gerelateerde systemen zoals Ubuntu. Het wonderlijke van deze bug is dat de fout slechts twee regels in de broncode besloeg en hierdoor ruim twee jaar onopgemerkt bleef. Geek-humor komt naar voren wanneer een exploit van OpenSSH wordt gedemonstreerd waarbij men uiteindelijk toegang krijgt tot een Ubuntu virtuele machine genaamd 'wopr.whitehouse.org'. De welkomsttekst volgt: "Hello? Would you like to play a game? If you want to play Global Thermo-nucleair War enter the command redbutton.sh.". Typisch genoeg gaat tijdens de presentatie ook een brandalarm af. Natuurlijk blijft iedereen rustig zitten, maar het geeft wel aan dat er veel hilarische toestanden tot stand komen wanneer ruim 8000 hackers samenkomen. Naderhand blijkt het brandalarm meerdere keren in gang te zijn gezet door enkele deelnemers.
Iedereen die weet wat voor volk rondloopt op Defcon, weet dat BlueTooth-verbindingen op mobiele telefoons en laptops beter uitgelaten kunnen worden. Er is weliswaar in de congreszalen een wireless netwerk beschikbaar, maar het gebruik hiervan is af te raden. In een grote zaal is een Wall of Sheep te bezichtigen waarop de gegevens zijn te zien van mensen die toch van dit draadloze internet gebruik maakten. Er is zelfs te zien dat er een laptop is overgenomen compleet met creditcardgegevens.
Ongewenste bezoekers
Het Riviera Hotel blijft vrij rustig onder de grote hoeveelheid hackers, maar de kwetsbare relatie tussen het hotel en Defcon mag niet geschaad worden, dus ook al wordt er overal gerookt en gedronken, zaken worden wel degelijk goed in de gaten gehouden. Alleen met de congrespas kan toegang tot de hacker-events worden verkregen en bij afterparties is identificatie van paspoort of rijbewijs verplicht om drinkende minderjarigen te weren. Tijdens de afterparties wordt opeens een man met bloedend gezicht weggedragen door zes man van de Defcon-organisatie (in rode t-shirts). Achteraf blijkt het om een grap te gaan.
Tijdens het congres is het ook duidelijk dat het publiek erg gemixed is: er lopen niet alleen nerds, punkers en gurus rond, maar ook federale agenten en prive-detectives. Dat de overheid met een scheef oog kijkt naar het congres, spreekt ook het feit dat enkele studenten uit Boston toegang tot het congres is ontzegd door een Amerikaanse rechtbank, omdat de studenten een presentatie wilden houden over de zwakheden in de CharlieCard – een soort OV-chipkaart van de Massachusetts Bay Transportation Authority te Boston. Uiteindelijk verschenen de studenten wel onder begeleiding van enkele advocaten van de EFF (Electronic Frontier Foundation), zonder dat er details worden onthuld die de heren in kwestie in moeilijkheden zal brengen.
Door hackers wordt er vaak argwanend naar de pers gekeken, en niet zonder reden. Op de tweede dag van Defcon wordt een persgroep van een niet nader genoemd Amerikaans computermagazine van het congres verwijderd omdat er moedwillig videobeelden worden gemaakt van hackers. Opvallend is dat eerder ook al drie Franse journalisten van het Black Hat-congres waren verwijderd vanwege het scannen van het persnetwerk op zoek naar gevoelige gegevens.
Dat de relatie tussen hackers en de overheid niet per definitie slecht is, bewijst wel de 'Meet the Feds'-sessie waarbij het publiek vragen kan stellen aan vertegenwoordigers van onder andere de FBI, Nasa, NSA, NCIS en enkele andere instellingen. Er wordt hierbij veel gelachen, maar er worden ook serieuze vragen gesteld over de beveiliging binnen deze diensten en de vervolging van hackers.
Ray Bogman
Jira ICT
