Dit was Tweakers op Black Hat en DEF CON

Tweakers was eerder deze maand op securityconferenties Black Hat en DEF CON. Hoewel de hackers-in-hoodies niet graag op de foto worden gezet, hebben we geprobeerd een sfeerimpressie neer te zetten. Dit was Tweakers op Black Hat en DEF CON.

Black Hat vond plaats op 10 en 11 augustus, DEF CON van 12 tot en met 14 augustus. Tweakers was op die dagen aanwezig om naar presentaties te luisteren, met hackers te spreken en natuurlijk artikelen te schrijven. Je kunt alle berichten die we hebben geschreven, nog eens teruglezen.

De beurzen

Defcon 2022Black Hat en DEF CON zijn twee losstaande beurzen in Las Vegas, waar de temperaturen uiteenliepen van een goede 40 graden buiten tot 17 graden binnen. Hoewel de beurzen niet inherent aan elkaar verbonden zijn, hebben ze een symbiotische relatie. Toen DEF CON vijf jaar bestond, kreeg een groep securityprofessionals behoefte aan een wat professionelere setting. DEF CON wordt ook wel 'hackerzomerkamp' genoemd, een conferentie waarbij de bezoekers niet zozeer naar praatjes luisteren, maar vooral naar elkaar. Ze hacken samen in wedstrijden, geven elkaar tips en vertellen over nieuwe ontwikkelingen. Omdat ook de securityindustrie professioneler is geworden, ontstond er behoefte aan een professionelere beurs. DEF CON was daar niet de juiste setting voor, dus ontstond na vijf jaar de Black Hat-conferentie in de dagen voorafgaand aan het hackerzomerkamp.

DEF CON werd dit jaar voor de 30e keer georganiseerd, Black Hat voor de 25e. Die mijlpaal kwam duidelijk naar voren in de twee keynotes van de conferentie. Chris Krebs, oud-directeur van CISA, vertelde waar cybersecurity in de komende jaren heen gaat. Securityjournalist Kim Zetter, bekend van het boek Countdown to Zero Day, over het Stuxnet-virus, besprak wat er sinds die cyberaanval allemaal veranderd is. De conclusies waren niet erg positief: nog meer ellende en verder niet zo heel veel, kort gezegd. Beide sprekers noemden kwetsbaarheden in aanvoerlijnen en kritieke infrastructuren, met de ransomwareaanval op de Amerikaanse Colonial Pipeline-oliepijpleiding als voorbeeld. Dergelijke kwetsbaarheden kwamen al in 2010 bij de Stuxnet-aanval aan het licht, maar nog steeds worstelen overheden en het bedrijfsleven met verantwoordelijkheden en beschermingen.

BlackHat 2022

Ondanks de weinig opbeurende woorden was de rest van de Black Hat-beurs niet louter pessimistisch. Black Hat bestaat uit drie onderdelen: presentaties, nieuwe producten van fabrikanten en trainingen. Tweakers was vooral aanwezig bij de tientallen presentaties en demonstraties van beveiligingsonderzoekers, of beter gezegd, bij een veel te kleine selectie ervan, want helaas konden we natuurlijk niet bij iedereen aanwezig zijn.

DEF CON

DEF CON is een heel anders gestructureerde conferentie. Die bestaat uit verschillende villages. Zo was er een Aerospace Village, waar hackers aan de slag gingen met het kraken van satelliet- en vliegtuigbeveiliging. We schreven eerder al een verslag over het hacken van satellieten op DEF CON.

PiSat Defcon 2022

In een village vinden ruwweg drie activiteiten plaats. Net als op Black Hat werden ook hier af en toe presentaties gegeven. Die waren wel een stuk meer ad-hoc opgezet en daarmee ook wat chaotischer. Soms vonden er verschillende tegelijkertijd in dezelfde ruimte plaats en regelmatig waren er maar 25 stoelen beschikbaar voor 75 geïnteresseerden. Tussen deze presentaties waren interessante, vaak verrassende inzichten te vinden. Zo woonden we per toeval een presentatie bij over nieuwe programmeertalen voor malwaremakers.

Autohacken Defcon 2022
Hackers proberen een auto te kraken op DEF CON.

Behalve aan presentaties kun je in de villages deelnemen aan wedstrijden, capture-the-flags. Daarbij strijden hackers tegen elkaar, individueel of in groepjes, om samen tot een bepaald doel te komen. Zo woonden we een ctf bij waarbij aanvallers een rootshell op een PiSat moesten zien te krijgen. Ook bij villages zoals de Car Hacking Village waren ctf's te spelen, bijvoorbeeld om toegang tot een Tesla te krijgen. Het nadeel van die wedstrijden is vaak wel dat ze lang duren. Soms zijn spelers er een of zelfs twee volle dagen mee kwijt. Dat is kostbare tijd die je nergens anders op de conferentie kunt rondbrengen.

Vending machine hackBuiten de officiële wedstrijden kunnen hackers met elkaar in gesprek om te leren van elkaars ontwikkelingen. Zo kwamen we een paar creatievelingen tegen die bezig waren een vending machine open te breken. Met permissie, natuurlijk. Dat gebeurde ook in de inmiddels beroemde Voting Village, waar Amerikaanse stemcomputers van verschillende merken staan. Hackers gingen daar samen aan de slag om de stemcomputers open te breken, te analyseren en er zwakheden in te ontdekken. De NOS beschreef in 2019 nog hoe dat ging. Tijdens DEF CON kon je naast auto's, satellieten, stemcomputers en vending machines allerlei andere digitale zaken hacken, zoals het olieboorplatform op de foto hieronder, het schaalmodel dan.

Olieboorplatform Defcon 2022
Een wedstrijd om een olieboorplatform te hacken op DEF CON 2022

Badgecon

badge Defcon 2022DEF CON heeft door de jaren heen veel geuzennamen gekregen. Een daarvan is Linecon, omdat je soms tot wel anderhalf uur in de rij kunt staan voor de merchandiseafdeling of om zelfs maar een Village binnen te komen. Badgecon is een andere. De officiële DEF CON-toegangsbadge is altijd een spel op zich. Dit jaar was de badge zowaar een piano. Een microcontroller met een aantal toetsen en zelfs een klein scherm worden aangestuurd door drie AAA-batterijen. Die maakten de badge ook echt speelbaar als een muziekinstrument. Er zat ook nog een spelelement aan. Bezoekers van de conferentie gingen op zoek naar verschillende kleuren badges - onze mediabadge was groen, bezoekers kregen een witte, medewerkers hadden een rode - en regen de verschillende muzieknoten die daarop stonden, aan elkaar. Wie dat op de juiste manier deed, ging naar 'level 2 van de badgechallenge'. Wat dat tweede level inhield en hoeveel levels er waren, is ons niet bekend. Er waren echter genoeg bezoekers die de badge uit elkaar trokken, analyseerden en zelfs wisten te debuggen om alle geheimen ervan te ontrafelen.

Badge Defcon 2022 1Badge Defcon 2022 2Badge Defcon 2022 3Badge Defcon 2022 4

Naast de officiële badge waren er ook onofficiële badges te koop. Daarvan kocht je voor doorgaans een dollar of twintig een kitje, dat je dan zelf nog in elkaar moest solderen. Gelukkig hoefde je op deze beurs je soldeerbout niet mee te nemen. Je kon gewoon naar de Soldering Village, waar ook genoeg knutselaars aanwezig waren die je een handje op weg hielpen.

Wall of Sheep

Wall of Sheep
De Wall of Sheep op de muur geprojecteerd

Hackers hacken ook graag elkaar, tenminste, als je zo dom bent om je vpn niet aan te zetten. Een inmiddels berucht onderdeel van de beurs is de Wall of Sheep, een groot geprojecteerd scherm waarop onderschepte gegevens van nietsvermoedende bezoekers worden getoond. Verbind je als bezoeker je laptop met de openbare wifiverbinding, dan is dat fair game voor de duizenden hackers die er aanwezig zijn, zeker als je je logingegevens via een niet-versleutelde verbinding stuurt. De laatste jaren is de Wall of Sheep een stuk minder interessant doordat zoveel internetverkeer via https wordt verzonden, maar dat neemt niet weg dat er alsnog genoeg 'schapen' online waren.

Artikelen

Natuurlijk hebben we niet alleen maar onze ogen uit mogen kijken, er was ook genoeg te schrijven. Dit zijn de artikelen die we tijdens en na de conferenties hebben gepubliceerd:

Onderzoekers over GitHub CoPilot: 'Je blijft zelf verantwoordelijk'
Programmeurs ontdekten dat GitHubs machinelearningtool met regelmaat onveilige code produceert.

'Wie is verantwoordelijk voor persoonlijke data die ethisch hackers ontdekken?'
Als whitehathackers persoonsgegevens vinden, wordt die vaak niet verwijderd. Een bugbountyhunter en een jurist spreken over de verantwoordelijkheden.

Nieuwe cpu-bugs zijn betrouwbaarder én gevaarlijker dan Spectre en Ridl
Onderzoekers vonden nieuwe kwetsbaarheden in Intel-bugs die lijken op speculative-executionbugs, maar met een twist; ze zijn veel betrouwbaarder.

Experts: nieuwe programmeertalen zijn geliefd bij malwaremakers
Malwaremakers kijken steeds vaker naar alternatieve programmeertalen, zoals Go, Rust en Nim.

Satellieten hacken wordt steeds interessanter op DEF CON
Op DEF CON proberen ethisch hackers satellieten te hacken en vertellen experts over hun ervaringen. Een Belgische onderzoeker hackte de Starlink-schotel Dishy.

Nederlander legt uit hoe hij via process injection-bug macOS-bestanden kon lezen
Een Nederlandse beveiligingsonderzoeker ontdekte een kwetsbaarheid in macOS waarmee hij via de Saved State-functie makkelijk data kon uitlezen.

Door Tijs Hofmans

Nieuwscoördinator

22-08-2022 • 16:47

33

Reacties (33)

33
30
3
0
0
4
Wijzig sortering
Dus we krijgen wél artikelen over Defcon en Blackhat, maar niet over ons eigen MCH2022?
Daar was ik helaas niet aanwezig! Ik wilde heel graag gaan, maar kon dat weekend niet. Anders had ik daar zeker iets over geschreven!
Misschien is dat maar beter ook, maar was het niet meerdere dagen en niet alleen zaterdag en zondag.

Nog niet zo lang geleden was de insteek van uit de Nederlandse en Duitse events op dit gebied.
Pers daar hebben wij niks aan, het event is standaard verkocht en "onze" bezoekers vinden Journalisten/pers* maar hinderlijk, maken ongevraagd foto's opnames van bezoekers en zorgen voor problemen door tenten van village's zonder uitnodiging in te lopen?

Ben zelf van mening dat als je sfeer impressies wilt maken #LL kan gaan daar heb je bezoekers die daar komen om gezien te worden. Niet zo heel lang terug moest opname spul afgegeven worden bij de kassa en kreeg je het terug bij vertrek.

Geloof het volgende grote event in Nederland waar wel journalisten welkom zijn** is het Internationale Hardwear.io in Den Haag. Wel een macrolens inpakken omdat er hele kleine chips gehackt worden.


* Journalist is niet een beschermde titel in Nederland
** als in gratis toegang met perskaart naar aanmelding.
AuteurTijsZonderH Nieuwscoördinator @onno oliver22 augustus 2022 20:48
Defcon was ook niet erg happig op journalisten, heb meerdere keren nare dingen naar m'n hoofd geslingerd gekregen. Maar er zijn gelukkig ook altijd veel mensen die wel graag met je praten. Bij MCH hadden we vooraf wel contact met iemand van persvoorlichting, dus dat was wel mogelijk geweest
Niet een idee om mensen van de community erover te laten schrijven? Bijvoorbeeld Sebastius etc :p zou in mijn ogen wel een plekje op de FP verdienen

[Reactie gewijzigd door computer1_up op 23 juli 2024 06:47]

Ik neem aan dat Tweakers uit meer mensen bestaat dan jij alleen? Mij boeit het niet zo dan dat ik voor de comercialisering van de HCC graag naar zoiets ging ging maar het lijkt mij dat je als team dit soort evenementen uitstippelt.
Je moet wel iemand hebben die snapt wat er verteld wordt en dit in een mooi artikel kan verwoorden. Anders is het alsof je een redacteur gespecialiseerd in mode naar een lezing over een kernreactoren stuurt.
Anders huur je iemand in die het wel begrijpt en die geef je een ticket en laat je een verslag schrijven. Dat is beter dan niks.
Het heeft mij inderdaad ook verbaasd dat een groot security event als MCH2022 hier geen aandacht kreeg. Ach ja, over 3 jaar weer een kans ;)
Op de fiets naar Zeewolde is natuurlijk minder sexy dan met het vliegtuig naar Las Vegas.
Bovendien moet je bij MCH je eigen tent meenemen. Niet alle journalisten houden van kamperen ;-)
AuteurTijsZonderH Nieuwscoördinator @veltnet23 augustus 2022 12:19
Ik zat letterlijk met vrienden op de camping dat weekend. En ik kan je verzekeren dat 13 uur Basic Economy vliegen inclusief overstap en Las Vegas, zeker in augustus, echt verre van sexy zijn :P
No offense...ik gun jou ook je vrije tijd.

Maar misschien hadden ze (Tweakers) iemand anders kunnen sturen, desnoods een stagiaire. Nu is er helemaal geen verslag gedaan van het grootste/belangrijkste Nederlandse hacker event.

[Reactie gewijzigd door veltnet op 23 juli 2024 06:47]

Je kon in dit geval ook nog, als je op tijd was, aan de overkant van het water een huisje huren.Er ging een MCH pond over en weer gedurende de dag. Gezien het in Nederland was had die journalist ook zelfs nog gewoon thuis kunnen gaan slapen. Tip voor de volgende keer ;)
ja dat weet ik, ik was er ook bij ;-)
Het is ook geen advertentie, en ook bij Tweakers moet de schoorsteen blijven roken.
Dus waarom zo je geen abonnement nemen? Je hebt dan ook een hoop voordelen.

[Reactie gewijzigd door AW_Bos op 23 juli 2024 06:47]

Omdat tegenwoordig vrijwel elke nieuwssite een abonnement heeft. Heel leuk, maar voor een paar artikelen per maand overal een betaald abonnement nemen schiet ook niet op…
Zodra ik gewoon in één keer €72 kan betalen voor 2 jaar Plus, doe ik het direct. Maar een incasso is voor mij net zo onacceptabel als advertenties die ik standaard overal en altijd blokkeer. (Leuk die pop-ups, maar het is een principe kwestie.)

Beter zou het nog zijn als je gewoon een plus artikel met karmapunten kan betalen, 1000 per artikel lijkt me een goede prijs.

Ik zou het trouwens geen advertorial noemen, maar de zin een beetje aanpassen kon geen kwaad:

"Je kunt alle berichten die we hebben geschreven, nog eens teruglezen, mits je een Plus Abonnement hebt."
Of als je de maandelijk gratis plus artikelen nog niet hebt gebruikt
Dat dacht ik ook, maar er zijn meer dan 3 artikelen ;) Ik kan natuurlijk een reminder voor voor 1 september zetten voor de laatste 2.
Voor het geld dat je een abonnement aanschaft kan je net zo goed bij c't magazine abonneren. Daar krijg je elke maand een mooi gevuld tijdschrift met veel DIEPgaande artikelen. Zelfs artikelen die je wel eigenlijk op tweakers zou verwachten, maarja. Tig keer nieuws submits gedaan, gebeurd niks mee. Gemiste kansen.
Naja, juist door de premium members kan een reis betaald worden. Tweakers ging jaren terug ook, zou het graag willen blijven zien. Een van de weinige Nederlandse media met “boots on the ground” i.p.v. alles maar overtypen uit een ander bericht. Zie het niet als advertorial. Je krijgt een stuk gratis content met verwijzingen naar premium.

Leuk om te lezen. Hopelijk komen er nog meer artikelen aan. Altijd mooi.
Ik ben het helemaal met je eens.
AuteurTijsZonderH Nieuwscoördinator @Vampyre22 augustus 2022 17:07
Ik zie niet in hoe dit een advertorial is. Het is gewoon een sfeerverslag, inclusief wat foto's. Dat we de artikelen zelf achter de paywall zetten heeft hier niks mee te maken. Ik had het artikel anders ook wel geschreven.
Wat @Vampyre aangeeft is zo gek nog niet.

De aangeklede Plus-linkdump op het einde van het artikel geeft dezelfde bittere "Zucht, ik ben erin getuind" nasmaak als bij advertorials in kranten en magazines.
AuteurTijsZonderH Nieuwscoördinator @trezzy22 augustus 2022 17:47
Ja jammer dat je m'n verklaring niet gelooft en m'n intenties voor jezelf invult, ik denk niet dat ik iets kan zeggen dat je overtuigt als je meteen al zo denkt. Ik kan alleen maar hopen dat je de foto's en het verslag dan in ieder geval wel kan waarderen :)
Er is niks mis met het artikel op zich zelf. Je beschrijft het goed. Maar om het daar na af werken met een hele lading plus artikelen is wat het maakt dat het als een advertentie over komt.
Snap niet waarom je zoveel -1 krijg. Ik vind het ook waardeloos om te betalen voor deze artikelen, af en toe zit er echt wel wat leuks bij, maar tegenwoordig kan je bij elke nieuwssite wel een abo afsluiten en dat wordt echt te gek
Voor die af en toe dat er iets leuks tussen zit, heb je 3 gratis artikelen elke maand.
Ik vind het best hoor, snap niet dat mensen er altijd wel weer over moeten klagen
zelfs die gebruik ik niet eens

Op dit item kan niet meer gereageerd worden.