Das Haus hacken: Testen des Verteidigungsbereitschaftszustands von DEFCON

Ich laufe den Vegas Strip auf und ab, mit einem Motherboard an meiner Brust, das an einem Schlüsselband baumelt. Umherziehende Touristen und örtliche Casino-Mitarbeiter werfen mir einen verrückten Blick zu. Die meisten von ihnen haben keine Ahnung, was ein DEFCON ist oder wo man einen finden kann. Das ist in Ordnung, ich lächle sie schelmisch an.

Ich habe gerade das Haus Haxxor gepwnt. Und ich habe die Quittungen, die das beweisen.

Meine Wochenendreise zum weltgrößten Hackertreffen begann ausgerechnet in Disneyland. Dort hole ich mir einen Mietwagen mit dem Angebot „Einen Tag kaufen, drei gratis bekommen“, sofern man bis Montagmorgen um 8.00 Uhr zurück ist. Bis dahin sollte ich es schaffen. Zumindest ist das der Plan.

Während ich das Ganze durchziehe, versuche ich, im analogen Radio ein paar anständige Melodien ohne zu viele Kommentare zu finden, was selbst in einer Großstadt wie LA schwierig ist. Es ist keine gute Idee, Ihr Telefon, Ihre Kreditkarte oder Ihren Laptop zu DEFCON mitzubringen (also ich wurden gewarnt). Ich experimentiere schon seit einiger Zeit mit einem No-Phone-Protokoll. Die Autovermietung stellt mir ein mobilfunkfähiges GPS zur Verfügung, damit ich den digitalen Weg zum Mekka des Glücksspiels verfolgen kann.

Ich bin in der Wüste zwischen LA und Vegas angekommen, wo es auf einer Strecke von gut hundert Meilen nur Mariachi-Bands und christliche Musik zu geben scheint. Ich schalte das Radio aus, bin mit meinen Gedanken allein und konzentriere mich auf die Straße, die vor mir liegt. Wie wird Defcon sein? Wie viele Personen werden dort sein? Gehöre ich überhaupt hierher? Es ist mein erstes Mal, ich bin nur ein Neuling, und ich habe vor, die Messe zum Absturz zu bringen, daher verspüre ich eine Mischung aus Unsicherheit und Vorfreude und Aufregung.

Das Parken auf dem Vegas Strip kostet nur sieben Dollar. Wenn Sie wissen, wohin Sie gehen müssen, ist dies ein weiterer praktischer Reisetipp, den Sie zur Hand haben. „Denken Sie daran, um elf Uhr zurück zu sein“, ruft mir der Parkwächter zu, „sonst bleiben Sie bis zehn Uhr morgens eingesperrt.“ Ich versichere ihr, dass ich rechtzeitig zurück sein werde. Ein ortsansässiger Kumpel, den ich im Burn traf, lud mich zu einem Trommelkreis ein, daher habe ich vor, den Strip schon lange vorher zu verlassen.

Auf der anderen Straßenseite befindet sich das Forum at Caesar's, in dem dieses Jahr die Defcon stattfindet. Sobald ich eine Tür in der Nähe des Linq öffne, befinde ich mich im Umkreis der Konferenz. Ich mische mich in die Menge der zwanzig- bis vierzigjährigen Männer ein, meist in Schwarz gekleidet, mit Rucksäcken, alle mit Computerchips um die Brust geschnallt. Das muss der Ort sein.

Als ich auf den Eingang der Konferenz zugehe, habe ich immer noch keinen Plan, wie ich reinkomme. Bevor ich mir ausgefeilte Strategien ausdenke, die nicht auf tatsächlichen Erfahrungen basieren, ist es am besten, einfach damit zu beginnen, die Gatekeeper zu testen. Ich beginne ein Gespräch mit einigen anderen DEFCON-Teilnehmern, die über Schlossknacken und „physische Sicherheit“ sprechen. Ich kenne den Fachjargon nicht, aber ich kenne mich ein wenig mit dem ersten Thema aus. Wenn ich mit ihnen chatte, gehe ich jetzt mit Freunden hinein, anstatt allein hinzugehen.

„Ähh, ich gehe zur Registrierung“, murmele ich dem einzigen Wachmann zu, der vor den Toren von Defcon sitzt. „Nein, du musst eine Maske tragen. „Hier“, sagt er und kümmert mich nicht einmal um die Qualifikationen. In den Tagen nach der Pandemie sind große Menschenansammlungen mehr besorgt darüber, zu einer Super-Spreader-Veranstaltung zu werden, als dafür, sicherzustellen, dass jeder für den Eintritt bezahlt wird.

Con ist abgestürzt, überprüfen Sie.

Ich betrete den Hauptraum von Defcon und er ist riesig. Stellen Sie sich ein Rockkonzert für eine mittelständische Band vor, die kurz davor steht, berühmt zu werden. Überall gibt es Schläger, die Freiwilligenarmee von Defcon. Ich bin mir nicht sicher, wie sehr sich diese Rothemden Gedanken über die Überprüfung ihrer Ausweise machen. Also setze ich mich schnell hin und drehe einen Joint, während ein Kind erklärt, wie er als Oberstufenstreich seinen gesamten Schulbezirk zum Rick Roll gemacht hat. Lernen Sie die Helden der nächsten Generation kennen.

In diesem Raum befindet sich eine interessante Mischung aus den besten Hackern der Welt, fanatischen Programmier-Hobbyisten und Regierungsgeheimnissen. Irgendwo neben mir sitzen Leute, die Banken und Regierungen gehackt haben. Die Legionen der Anonymen sind hier, IRL. Es handelt sich um ein IRC-Forum mit den berühmtesten Verbrechern des Internets, die beschlossen haben, sich persönlich zu treffen. Hier gibt es keine gesuchten Plakate – nur Hacker mit Kriegsgeschichten über die Festnahme durch die Regierung. Und Anleitungen zum Hacken des Gesetzescodes, um Ärger zu vermeiden, wenn man erwischt wird.

Wenn ich mir von einem Teilnehmer in der Nähe ein Defcon-Programm ausleihe, bekomme ich einen Überblick über die Lage. Die Vorträge finden überwiegend in den großen Räumen statt. Praktische Demonstrationen und praktische Hacking-Dörfer finden in Breakout-Räumen statt. Hier wird mir klar, dass Hacking ein viel größeres Thema ist, als ich bisher dachte. Es gibt ein Biohacker-Dorf, einen Ort für Amateurfunk-Enthusiasten und sogar eine Ecke, die dem Hacken (und Sichern) von Wahlmaschinen gewidmet ist. Ich passe zumindest in einige dieser Kisten. Vielleicht gehöre ich doch hierher.

„Vielleicht bist auch du ein Hacker“, denke ich mir.

Ich weiche den Schlägern aus und gehe zum Schlossknackerraum. Ich habe ein Geschenk für Deviant Ollaf, der mich zu einem Schmuckstück inspiriert hat, das ich jeden Tag trage. Ich habe gehört, dass er dort rumhängt. Da ist ein Typ, der einen einfachen Vortrag über das Öffnen von Schlössern hält, und eine Handvoll Leute an einem Cocktailtisch, die versuchen, Schlösser zu knacken. Ich rede Blödsinn über Master Locks und kämpfe dann viel zu lange damit, das Schloss aufzubrechen, was mir schließlich nach ein paar hilfreichen Ratschlägen klar wird. Wir schließen schnell Freundschaften und ich zeige ihnen einige Tipps und Tricks. Außerdem bekomme ich vom Moderator einige Einblicke, wie ich meine Praxis verbessern kann („sanfteren Druck anwenden“).

John kommt aus DC und fragt mich nach Pentests. "Was ist das?" Ich frage ihn. Er wirft mir einen erschrockenen Blick zu, als gehöre ich nicht hierher, der erste, den ich bisher erhalten habe. Rut roh. „Penetrationstests. Auf der Suche nach Lücken in der physischen Sicherheit“, antwortet er. „Oh, das habe ich schon oft gemacht“, versichere ich ihm, „ich weiß nur nicht, wie ihr es alle nennt.“ Wir unterhalten uns ein wenig über seine Beratungspraxis und meine persönliche Vergangenheit beim Secret Service, wo ich einigermaßen berüchtigt bin.

Gemeinsam gehen wir in einen großen dunklen Raum, der mich an einen Rave aus meiner Collegezeit erinnert. Es gibt Menschen in Kostümen, die herumlaufen, Neonlichter, Reihen von Computerbildschirmen und einen Verkaufsautomaten mit einer Schar von College-Studenten, die lernen, wie man kostenloses Essen bekommt. Ein Hacker-Komiker führt auf der Bühne Zaubertricks vor und in einer anderen Ecke des Raumes werden die Ergebnisse eines Hacking-Wettbewerbs bekannt gegeben.

Hier ist für jeden etwas dabei, Spaß für die ganze Familie.

Danach wandern wir zum physischen Sicherheitsdorf, wo die Handschellen-Hacker-Demonstration lebt. Ich zeige ein Schmuckstück mit einem versteckten Handschellenschlüssel und öffne ein Paar Handschellen von meinem Handgelenk. Ein Skeptiker fragt: „Ja, aber wie kommst du dorthin, wenn deine Hände hinter deinem Rücken sind?“ Ich ließ zu, dass er mir Handschellen anlegte, springe dann auf den Tisch und ziehe meine Knie durch meine gefesselten Hände, um mich dann in weniger als einer Minute aus den Handschellen zu befreien. Dann zeige ich John die Grundlagen des Handschellenöffnens mit einer Haarnadel, und wir üben beide das Ausrichten von Türen an den zahlreichen Beispieltürrahmen, die Defcon auf den Tischen aufgestellt hat.

Ich lade John ein, diesen Joint zu rauchen, aber er muss irgendwo sein. Ich habe das Gefühl, dass er pünktlich ist, also trennen wir uns, ohne Kontaktinformationen auszutauschen. Der Schwerpunkt auf Anonymität ist so hoch, dass die Defcon-Organisatoren nur Bargeld akzeptieren und bei der Registrierung keine Zahlung mit Kreditkarte zulassen (nicht, dass ich das aus eigener Erfahrung wüsste). Jede hier hergestellte Verbindung scheint also dazu bestimmt zu sein, verloren zu gehen, es sei denn, Sie finden sich während einer Operation zufällig im Internet wieder.

Wir sehen uns auf der nächsten Con, John.

Auf dem Weg nach draußen höre ich in einem Raum, in dem ein Schild mit der Aufschrift „Capture the Flag“ steht, heftige Trommeln und Bässe schlagen. Ich schaue hinein, wandere durch den Raum und bestaune die mit Code gefüllten Bildschirme. Teams konkurrierender Hacker fassen sich in kollektiver Frustration an die Stirn. Im Gegensatz zu den sexy Bildern, die in Filmen über Hacking gezeigt werden, ist dies das einzig Wahre. Es ist nur eine endlose Reihe weißer Buchstaben auf schwarzen Bildschirmen. Ein Team in diesem Raum gewinnt den Preis der schwarzen Abzeichen, die Ihnen lebenslangen freien Eintritt zu Defcon verschaffen. Ich mache dem DJ ein Kompliment und setze dann meinen fröhlichen Weg fort.

Draußen zünde ich einem Mann, der ein Monero-T-Shirt trägt, eine Lampe an. Wir beginnen ein philosophisches Gespräch über Krypto mit einem anderen zufälligen Defcon-Teilnehmer. „Jedes Mal, wenn eine transformative Technologie wie die Druckmaschine oder das Internet auf den Markt kommt, verändert sie die Gesellschaft, die Regierung und das Geld. Glaubst du, wir werden in dreißig Jahren immer noch schmutzige Taschentücher verteilen, um Dinge zu bezahlen? Geld besteht im Moment bereits aus Einsen und Nullen.“ Ein überzeugendes Argument. Aber man kann immer noch nicht mit einer Handvoll Bitcoin einen Badge bei Defcon kaufen. Selbst in Hackerville herrscht derzeit noch Bargeld.

Während wir uns unterhalten, kommt eine andere Person mit einem QR-Code auf einem Magneten auf uns zu. Er erzählt den anderen Leuten in der Convo etwas über Abzeichen und fischt definitiv nach Neulingen. Er ist nicht wie ein Idiot gekleidet und technisch gesehen bin ich außerhalb der Konferenz, also schätze ich, dass ich im Klaren bin. Ich habe nicht einmal ein Telefon, um die Malware herunterzuladen, die sich hinter diesem QR-Code befindet. Aber ich zücke das GPS der Autovermietung, das technisch gesehen ein Telefon ist. Ich zeige ihr Telefon rücksichtslos in Richtung des QR-Codes. "Ist das genug?" Ich frage. „Ja, das reicht“, antwortet ein Hacker in der Nähe. „Wow, genau so viel, oder? Das Lustige daran ist, dass ich nicht einmal ein Telefon besitze.“ Sie starren zweifelnd auf das Telefon in meiner Hand.

Jetzt, wo ich ein bisschen high bin, ist es Zeit zu feiern. John erzählte mir von einer Party im Flamingo und es gibt auch eine Wohltätigkeitsveranstaltung für die Electronic Frontier Foundation , die zusammen mit Aaron Swartz dabei geholfen hat, das Internet zu retten. Ich habe mich einmal bei einer EFF-Demonstration vor einem Verizon-Laden in Boston als Rick Astley verkleidet, also zähle ich mich zu den Unterstützern der Sache. Im Flamingo treffe ich auf ein paar Defcon-Organisatoren, aber niemand kann mir den Weg zur EFF-Party weisen, also beschließe ich, noch einmal nach draußen zu gehen, um noch etwas zu rauchen und ein bisschen zu meditieren.

Als ich aufwache, fragt mich ein Polizist nach einem Ausweis.

Ich muss beim Rauschen des Wasserfalls abgeschalten sein. „Werde ich festgehalten oder kann ich gehen?“ Ich frage den Beamten. „Sie werden nicht festgenommen“, antwortet er. „Lassen Sie uns nur einen Ausweis sehen, sonst müssen Sie gehen.“ Ich fange an, meine spärlichen Besitztümer einzusammeln und antworte, dass ich bereit bin zu gehen. „Kennen Sie den Ausweg?“ Der Beamte fragt mich, als er weggeht. „Niemand kennt den Weg aus diesen Orten“, sage ich in Anspielung auf die endlosen Indoor-Labyrinthe, die Casinos sind. Aber er hört nicht zu.

Diese Bank ist der genaue Ort des Meditationsvorfalls.

Als ich zum Parkservice zurückkomme, bei dem ich mein Auto abgestellt habe, ist der Platz bis auf mein Auto leer. Wie lange war ich ohnmächtig? Ich entdecke, dass es schon nach ein Uhr morgens ist. Ich bin viel zu spät dran, um meinen Mietwagen zu bekommen. Außerdem habe ich den Trommelkreis vermisst. Die meisten der von Defcon beworbenen Parteien sind längst beendet. Da sich meine gesamte Ausrüstung im Auto befindet und der Parkservice meine Schlüssel hat, habe ich nicht einmal eine Kreditkarte, um ein Hotelzimmer zu buchen, oder ein Auto, um zum Haus meines Freundes zu fahren. Es sieht so aus, als würde ich den Strip bis zum Sonnenaufgang laufen.

Jetzt, da es mitten in der Nacht ist, ist es der perfekte Zeitpunkt, sich Anmeldeinformationen zu besorgen, also gehe ich zurück zum Forum. Der Bereich ist abgesperrt und das Reinigungsteam ist vor Ort. Aber es gibt immer einen Weg hinein. Als ich früher am Tag mit diesem Joint nach draußen ging, habe ich eine Tür aufgebrochen, was jetzt praktisch ist. In den Foren sprechen Defcon-Teilnehmer über Linecon, die stundenlange Warteschlange, die man braucht, um am ersten Tag Abzeichen zu erhalten.

Die Leitung um 01:00 Uhr am zweiten Tag ist nicht vorhanden.

Da der Raum leer ist und niemand anwesend ist, der mir bei der Registrierung hilft, greife ich zu einigen Ausweisen. Ich wähle eines, das bläulich-grün ist, statt des üblichen Weiß. Verschiedenfarbige Abzeichen sind in diesem Land ein Statussymbol, das Sie als Mensch, Idiot oder Sprecher identifiziert (sowie in vielen anderen Farben).

Das Defcon-Abzeichen ist äußerst funktional. Es handelt sich um eine Drum-Machine und ein Loop-Board mit einem mehrfarbigen LED-Licht, das oben blinkt. Als ich ein Schlüsselband in die Hand nehme, fallen mir Packungen unbeaufsichtigter roter Idioten-T-Shirts auf. Verlockend. Aber ich bin zu dem Schluss gekommen, dass es wahrscheinlich mehr Ärger macht, als es wert ist, da Defcon überall an den Wänden Schilder mit gefälschten Idiotenabzeichen angebracht hat.

Nachdem ich ein paar Stunden lang die zufällig thematisierten Casinos am Las Vegas Strip besucht habe, die alle die ganze Nacht geöffnet haben, gehe ich zurück zu meinem Mietwagen und rufe meinen lokalen Freund über eine VoIP-Verbindung im nahegelegenen Starbucks an. Wir essen zum Brunch im Cracked Egg, einem Ort, an dem man isst, wenn man hier lebt. Ich erzähle ihm die Geschichte vom Absturz der Defcon und lade ihn ein, Teil zwei mit mir zu spielen. Er nimmt die Einladung an und wir fahren mit meinem Mietwagen zurück in Richtung Forum.

Diesmal hält uns der Sicherheitsdienst am Haupteingang an. „Sie sollten nicht hier sein, meine Herren. Dreh dich um und geh in die andere Richtung.“ Es ist eine überraschend wahre Tatsachenfeststellung. Aber woher weiß er das? Ich schubse meinen Kumpel dazu, die blaugrünen Anmeldeinformationen, die ich mir ausgeliehen habe, vorzuzeigen, während ich das DEFCON-Programm in der Luft schwenke, als gehörten wir hierher. „Oh, da sind Sie richtig. Macht weiter, Leute, tragt einfach eine Maske“, sagt der Wachmann.

Das einzige knappe Gespräch mit dem Sicherheitsdienst, das ich in achtundvierzig Stunden bei Defcon hatte (abgesehen von den Polizisten im Flamingo).

Alle sind im großen Raum und verfolgen die Defcon-Preisverleihung, bei der die begehrten schwarzen Abzeichen verliehen werden. Wir machen uns auf den Weg zur Registrierung, wo jetzt eine Handvoll Leute drinnen sind, die alle auf ihre Telefone schauen. Ich lege eine Kopie meiner Präsentation „ Pwn'ing the House of Haxxor: Pen Testing DEFCON 30 “ auf die Tastatur, die unter dem Bildschirm der Überwachungskameras sitzt. Niemand bemerkt uns.

Ich schnappe mir einen Mann, der auf die Bühne geht. „Ich komme gerade von der Anmeldung. Können Sie das für uns aufs Podium bringen?“ In schlampiger Handschrift sind die Folien mit „Für eine lobende Erwähnung“ versehen. Unterzeichnet, Lucy.

Er geht zur Bühne und übergibt das Deck einem Schläger rechts von der Bühne. Ob der Typ auf dem Podium uns tatsächlich eine lobende Erwähnung gab, blieben wir nicht, um nachzuschauen. Wir blieben nur lange genug, um sicherzustellen, dass die Dias auf die Bühne kamen. Das reichte aus, um die übermittelte Nachricht zu berücksichtigen.

Als ich Disneyland zwei Tage zuvor zum ersten Mal verließ, hatte ich mir die Aufgabe gestellt, die Hacker zu hacken. In diesen Besatzungen wird viel über „OpSec“ oder Betriebssicherheit gesprochen. DEF-CON steht für „Defense Readiness Condition“. Wir stellen ihren Namen auf die Probe.

Aber das ist nur die halbe Wahrheit.

Am Ende des Wochenendes hatte ich einige neue Freunde gefunden, ein paar Tipps und Tricks gelernt und erkannte, dass ich mehr zu den Hackern bei Defcon gehörte, als ich ursprünglich gedacht hatte. Das Thema der DEFCON30 war „Heimkehr“. Für mich fühlte es sich tatsächlich an, als würde ich nach Hause kommen.