Tweakers was eerder deze maand op securityconferenties Black Hat en DEF CON. Hoewel de hackers-in-hoodies niet graag op de foto worden gezet, hebben we geprobeerd een sfeerimpressie neer te zetten. Dit was Tweakers op Black Hat en DEF CON.
Black Hat vond plaats op 10 en 11 augustus, DEF CON van 12 tot en met 14 augustus. Tweakers was op die dagen aanwezig om naar presentaties te luisteren, met hackers te spreken en natuurlijk artikelen te schrijven. Je kunt alle berichten die we hebben geschreven, nog eens teruglezen.
De beurzen
Black Hat en DEF CON zijn twee losstaande beurzen in Las Vegas, waar de temperaturen uiteenliepen van een goede 40 graden buiten tot 17 graden binnen. Hoewel de beurzen niet inherent aan elkaar verbonden zijn, hebben ze een symbiotische relatie. Toen DEF CON vijf jaar bestond, kreeg een groep securityprofessionals behoefte aan een wat professionelere setting. DEF CON wordt ook wel 'hackerzomerkamp' genoemd, een conferentie waarbij de bezoekers niet zozeer naar praatjes luisteren, maar vooral naar elkaar. Ze hacken samen in wedstrijden, geven elkaar tips en vertellen over nieuwe ontwikkelingen. Omdat ook de securityindustrie professioneler is geworden, ontstond er behoefte aan een professionelere beurs. DEF CON was daar niet de juiste setting voor, dus ontstond na vijf jaar de Black Hat-conferentie in de dagen voorafgaand aan het hackerzomerkamp.
DEF CON werd dit jaar voor de 30e keer georganiseerd, Black Hat voor de 25e. Die mijlpaal kwam duidelijk naar voren in de twee keynotes van de conferentie. Chris Krebs, oud-directeur van CISA, vertelde waar cybersecurity in de komende jaren heen gaat. Securityjournalist Kim Zetter, bekend van het boek Countdown to Zero Day, over het Stuxnet-virus, besprak wat er sinds die cyberaanval allemaal veranderd is. De conclusies waren niet erg positief: nog meer ellende en verder niet zo heel veel, kort gezegd. Beide sprekers noemden kwetsbaarheden in aanvoerlijnen en kritieke infrastructuren, met de ransomwareaanval op de Amerikaanse Colonial Pipeline-oliepijpleiding als voorbeeld. Dergelijke kwetsbaarheden kwamen al in 2010 bij de Stuxnet-aanval aan het licht, maar nog steeds worstelen overheden en het bedrijfsleven met verantwoordelijkheden en beschermingen.
Ondanks de weinig opbeurende woorden was de rest van de Black Hat-beurs niet louter pessimistisch. Black Hat bestaat uit drie onderdelen: presentaties, nieuwe producten van fabrikanten en trainingen. Tweakers was vooral aanwezig bij de tientallen presentaties en demonstraties van beveiligingsonderzoekers, of beter gezegd, bij een veel te kleine selectie ervan, want helaas konden we natuurlijk niet bij iedereen aanwezig zijn.
DEF CON
DEF CON is een heel anders gestructureerde conferentie. Die bestaat uit verschillende villages. Zo was er een Aerospace Village, waar hackers aan de slag gingen met het kraken van satelliet- en vliegtuigbeveiliging. We schreven eerder al een verslag over het hacken van satellieten op DEF CON.
In een village vinden ruwweg drie activiteiten plaats. Net als op Black Hat werden ook hier af en toe presentaties gegeven. Die waren wel een stuk meer ad-hoc opgezet en daarmee ook wat chaotischer. Soms vonden er verschillende tegelijkertijd in dezelfde ruimte plaats en regelmatig waren er maar 25 stoelen beschikbaar voor 75 geïnteresseerden. Tussen deze presentaties waren interessante, vaak verrassende inzichten te vinden. Zo woonden we per toeval een presentatie bij over nieuwe programmeertalen voor malwaremakers.
:strip_exif()/i/2005305296.jpeg?f=imagemedium)
Behalve aan presentaties kun je in de villages deelnemen aan wedstrijden, capture-the-flags. Daarbij strijden hackers tegen elkaar, individueel of in groepjes, om samen tot een bepaald doel te komen. Zo woonden we een ctf bij waarbij aanvallers een rootshell op een PiSat moesten zien te krijgen. Ook bij villages zoals de Car Hacking Village waren ctf's te spelen, bijvoorbeeld om toegang tot een Tesla te krijgen. Het nadeel van die wedstrijden is vaak wel dat ze lang duren. Soms zijn spelers er een of zelfs twee volle dagen mee kwijt. Dat is kostbare tijd die je nergens anders op de conferentie kunt rondbrengen.
Buiten de officiële wedstrijden kunnen hackers met elkaar in gesprek om te leren van elkaars ontwikkelingen. Zo kwamen we een paar creatievelingen tegen die bezig waren een vending machine open te breken. Met permissie, natuurlijk. Dat gebeurde ook in de inmiddels beroemde Voting Village, waar Amerikaanse stemcomputers van verschillende merken staan. Hackers gingen daar samen aan de slag om de stemcomputers open te breken, te analyseren en er zwakheden in te ontdekken. De NOS beschreef in 2019 nog hoe dat ging. Tijdens DEF CON kon je naast auto's, satellieten, stemcomputers en vending machines allerlei andere digitale zaken hacken, zoals het olieboorplatform op de foto hieronder, het schaalmodel dan.
:strip_exif()/i/2005305298.jpeg?f=imagenormal)
Badgecon
DEF CON heeft door de jaren heen veel geuzennamen gekregen. Een daarvan is Linecon, omdat je soms tot wel anderhalf uur in de rij kunt staan voor de merchandiseafdeling of om zelfs maar een Village binnen te komen. Badgecon is een andere. De officiële DEF CON-toegangsbadge is altijd een spel op zich. Dit jaar was de badge zowaar een piano. Een microcontroller met een aantal toetsen en zelfs een klein scherm worden aangestuurd door drie AAA-batterijen. Die maakten de badge ook echt speelbaar als een muziekinstrument. Er zat ook nog een spelelement aan. Bezoekers van de conferentie gingen op zoek naar verschillende kleuren badges - onze mediabadge was groen, bezoekers kregen een witte, medewerkers hadden een rode - en regen de verschillende muzieknoten die daarop stonden, aan elkaar. Wie dat op de juiste manier deed, ging naar 'level 2 van de badgechallenge'. Wat dat tweede level inhield en hoeveel levels er waren, is ons niet bekend. Er waren echter genoeg bezoekers die de badge uit elkaar trokken, analyseerden en zelfs wisten te debuggen om alle geheimen ervan te ontrafelen.
Naast de officiële badge waren er ook onofficiële badges te koop. Daarvan kocht je voor doorgaans een dollar of twintig een kitje, dat je dan zelf nog in elkaar moest solderen. Gelukkig hoefde je op deze beurs je soldeerbout niet mee te nemen. Je kon gewoon naar de Soldering Village, waar ook genoeg knutselaars aanwezig waren die je een handje op weg hielpen.
Wall of Sheep
:strip_exif()/i/2005305318.jpeg?f=imagemedium)
Hackers hacken ook graag elkaar, tenminste, als je zo dom bent om je vpn niet aan te zetten. Een inmiddels berucht onderdeel van de beurs is de Wall of Sheep, een groot geprojecteerd scherm waarop onderschepte gegevens van nietsvermoedende bezoekers worden getoond. Verbind je als bezoeker je laptop met de openbare wifiverbinding, dan is dat fair game voor de duizenden hackers die er aanwezig zijn, zeker als je je logingegevens via een niet-versleutelde verbinding stuurt. De laatste jaren is de Wall of Sheep een stuk minder interessant doordat zoveel internetverkeer via https wordt verzonden, maar dat neemt niet weg dat er alsnog genoeg 'schapen' online waren.
Artikelen
Natuurlijk hebben we niet alleen maar onze ogen uit mogen kijken, er was ook genoeg te schrijven. Dit zijn de artikelen die we tijdens en na de conferenties hebben gepubliceerd:
Onderzoekers over GitHub CoPilot: 'Je blijft zelf verantwoordelijk'
Programmeurs ontdekten dat GitHubs machinelearningtool met regelmaat onveilige code produceert.
'Wie is verantwoordelijk voor persoonlijke data die ethisch hackers ontdekken?'
Als whitehathackers persoonsgegevens vinden, wordt die vaak niet verwijderd. Een bugbountyhunter en een jurist spreken over de verantwoordelijkheden.
Nieuwe cpu-bugs zijn betrouwbaarder én gevaarlijker dan Spectre en Ridl
Onderzoekers vonden nieuwe kwetsbaarheden in Intel-bugs die lijken op speculative-executionbugs, maar met een twist; ze zijn veel betrouwbaarder.
Experts: nieuwe programmeertalen zijn geliefd bij malwaremakers
Malwaremakers kijken steeds vaker naar alternatieve programmeertalen, zoals Go, Rust en Nim.
Satellieten hacken wordt steeds interessanter op DEF CON
Op DEF CON proberen ethisch hackers satellieten te hacken en vertellen experts over hun ervaringen. Een Belgische onderzoeker hackte de Starlink-schotel Dishy.
Nederlander legt uit hoe hij via process injection-bug macOS-bestanden kon lezen
Een Nederlandse beveiligingsonderzoeker ontdekte een kwetsbaarheid in macOS waarmee hij via de Saved State-functie makkelijk data kon uitlezen.