Hacking the House : Test de l'état de préparation de la défense de DEFCON

Je me promène sur le Strip de Vegas avec une carte mère attachée à ma poitrine, suspendue à un cordon. Les touristes errants et les employés des casinos locaux me donnent l'œil d'un fou. La plupart d'entre eux n'ont aucune idée de ce qu'est un DEFCON ou de l'endroit où vous iriez pour en trouver un. C'est bon, je leur souris malicieusement.

Je viens de devenir propriétaire de la maison Haxxor. Et j'ai les reçus pour le prouver.

Mon voyage d'un week-end à la plus grande réunion de hackers au monde a commencé à Disneyland entre tous. C'est là que je récupère une voiture de location, qui propose une offre "achetez un jour, obtenez-en trois gratuits", tant que vous êtes de retour à 08h00 le lundi matin. Je devrais pouvoir le faire d'ici là. Du moins, c'est le plan.

En réussissant le lot, j'essaie de trouver des morceaux décents sans trop de commentaires sur la radio analogique, ce qui est difficile même dans une grande ville comme LA Ce n'est pas une bonne idée d'apporter votre téléphone, vos cartes de crédit ou vos ordinateurs portables à DEFCON (donc je 'ai été prévenu). J'expérimente un protocole sans téléphone depuis un moment maintenant. La société de location de voitures me donne un GPS connecté au cellulaire, afin que je puisse suivre la route numérique vers la Mecque du jeu.

J'ai frappé le désert entre LA et Vegas, où il semble n'y avoir que des groupes de Mariachi et de la musique chrétienne sur une bonne centaine de kilomètres. En éteignant la radio, je suis seul avec mes pensées et concentré sur la route à suivre. À quoi ressemblera Defcon? Combien de personnes seront là ? Est-ce que j'appartiens même ici? C'est ma première fois, juste un noob, et j'ai l'intention d'écraser le con, donc je ressens de l'incertitude mélangée à de l'anticipation et de l'excitation.

Le stationnement ne coûte que sept dollars sur le Strip de Vegas, si vous savez où aller, un autre hack de voyage qu'il est pratique d'avoir à votre disposition. "N'oubliez pas d'être de retour à onze heures", me crie le gardien du parking, "ou vous allez être enfermé jusqu'à dix heures du matin." Je lui assure que je serai de retour à temps. Un copain local que j'ai rencontré au Burn m'a invité à un cercle de tambours, alors j'ai l'intention de quitter le Strip bien avant cette date.

De l'autre côté de la rue se trouve le Forum at Caesar's, qui est l'emplacement de Defcon cette année. Dès que je cale une porte ouverte près du Linq, je suis à l'intérieur du périmètre de la conférence. Je me fond dans la foule d'hommes de vingt à quarante ans, pour la plupart vêtus de noir avec des sacs à dos, tous portant des puces informatiques attachées à la poitrine. Ce doit être l'endroit.

En marchant vers l'entrée de la conférence, je n'ai toujours pas de plan pour entrer. Avant de proposer des stratégies élaborées non fondées sur l'expérience réelle, il est préférable de commencer simplement par tester les gardiens. J'entame une conversation avec d'autres participants au DEFCON qui parlent de crochetage et de « sécurité physique ». Je ne connais pas le jargon du royaume, mais je connais un peu le premier sujet. Discuter avec eux signifie que je me promène maintenant avec des amis au lieu d'y aller en solo.

"Euh, je vais à l'enregistrement," je marmonne au seul garde de sécurité assis aux portes de Defcon. « Non, tu dois porter un masque. Ici », dit-il sans même me déranger pour les titres de compétences. Dans les jours post-pandémiques, les grands rassemblements de personnes sont plus soucieux de devenir un événement de super diffusion que de garantir que tout le monde paie pour entrer.

Con s'est écrasé, vérifiez.

J'entre dans la pièce principale de Defcon et elle est immense. Imaginez un concert de rock pour un groupe de niveau intermédiaire qui est sur le point d'être célèbre. Il y a des crétins partout, l'armée de volontaires de Defcon. Je ne sais pas à quel point ces chemises rouges sont préoccupées par la vérification des informations d'identification. Alors je prends un siège rapide et je roule un joint pendant qu'un enfant explique comment il a fait rouler tout son district scolaire en tant que farce senior. Rencontrez les héros de la prochaine génération.

À l'intérieur de cette salle se trouve un mélange intéressant des hackers les plus élitistes du monde, des amateurs de codage fanatiques et des fantômes du gouvernement. Des gens qui ont piraté les banques et les gouvernements sont assis quelque part à côté de moi. Les légions d'anonymes sont ici IRL. C'est un babillard IRC des hors-la-loi les plus célèbres d'Internet qui ont décidé de se rencontrer en personne. Pas d'affiches recherchées ici - seulement des pirates avec des histoires de guerre sur le fait d'avoir été arrêtés par le gouvernement fédéral. Et comment faire pour pirater le code légal pour vous sortir du pétrin si vous êtes pris.

En empruntant un programme Defcon à un participant à proximité, je comprends le terrain. Les pourparlers se déroulent principalement dans les grandes salles. Des démonstrations pratiques et des villages de piratage pratiques se déroulent dans des salles de sous-commission. C'est ici que je réalise que le piratage est une tente beaucoup plus grande que je ne le pensais auparavant. Il y a un village biohacker, un endroit pour les amateurs de radio amateur, et même un coin dédié au piratage (et à la sécurisation) des machines à voter. Je rentre dans au moins quelques-unes de ces cases. Peut-être que j'appartiens ici, après tout.

« Toi aussi, tu es peut-être un hacker », me dis-je.

Évitant les hommes de main, je me dirige vers la salle de crochetage. J'ai un cadeau pour Deviant Ollaf, qui m'a inspiré un bijou que je porte tous les jours. J'entends qu'il traîne là-bas. Il y a un gars qui donne une conférence de base sur le crochetage 101 et une poignée de personnes à une table de cocktail essayant de crocheter des serrures. Je parle de la merde à propos de Master Locks, puis je lutte depuis trop longtemps pour casser le verrou, ce que j'ai finalement compris après quelques conseils utiles. Nous nous faisons rapidement des amis et je leur montre quelques trucs et astuces. J'obtiens également un aperçu du présentateur sur la façon d'améliorer ma pratique ("utiliser une pression plus douce").

John est de DC et il me pose des questions sur les tests d'intrusion. "Qu'est ce que c'est?" Je lui demande. Il me lance un regard surpris comme si je n'appartenais pas à cet endroit, le premier que j'ai reçu jusqu'à présent. Rut roh. "Tests de pénétration. À la recherche de failles dans la sécurité physique », répond-il. "Oh, j'ai fait beaucoup de choses", je lui assure, "je ne sais tout simplement pas comment vous appelez ça." Nous discutons un peu de sa pratique de consultant et de mon histoire personnelle avec les services secrets, où je suis quelque peu tristement célèbre.

Ensemble, nous nous dirigeons vers une grande pièce sombre qui me rappelle une rave de mes années d'université. Il y a des gens en costume qui se promènent, des néons, des rangées d'écrans d'ordinateur et un distributeur automatique avec une foule d'étudiants qui apprennent à pirater de la nourriture gratuite. Un comédien hacker est sur scène en train de faire des tours de magie et les résultats d'un concours de piratage sont annoncés dans un autre coin de la pièce.

Il y en a pour tous les goûts ici, du plaisir pour toute la famille.

Après cela, nous nous dirigeons vers le village de la sécurité physique, où vit la démonstration de piratage des menottes. Je montre un bijou avec une clé de menottes cachée et déverrouille un ensemble de menottes de mon poignet. Un sceptique demande : « Ouais, mais comment allez-vous y arriver quand vos mains sont derrière votre dos ? Je l'ai laissé me menotter, puis j'ai sauté sur la table et tiré mes genoux entre mes mains menottées, puis je me suis dégagé des menottes en moins d'une minute. Ensuite, je montre à John les bases de la cueillette des menottes avec une épingle à cheveux, et nous nous entraînons tous les deux à caler les portes sur les nombreux exemples de cadres de porte que Defcon a installés sur les tables.

J'invite John à fumer ce joint, mais il a un endroit où être. J'ai l'impression qu'il est sur l'horloge, alors nous nous séparons sans échanger nos coordonnées. La prime à l'anonymat est si élevée que les organisateurs de Defcon n'acceptent que les espèces et ne vous laisseront pas payer avec une carte de crédit lors de l'inscription (pas que je le sache par expérience personnelle). Ainsi, chaque connexion établie ici semble destinée à être perdue, à moins que vous ne vous retrouviez au hasard sur le Web lors d'une opération.

On se voit au prochain con, John.

En sortant, j'entends des tambours et des basses intenses frapper à l'intérieur d'une pièce avec une pancarte intitulée "Capturez le drapeau". Je jette un coup d'œil à l'intérieur et me promène dans la pièce, émerveillé par les écrans remplis de code. Des équipes de hackers compétitifs se saisissent le front dans une frustration collective. Contrairement aux visuels sexy représentés dans les films sur le piratage, c'est la vraie affaire. C'est juste un tableau infini de lettres blanches sur des écrans noirs. Une équipe dans cette salle remportera le prix des badges noirs, qui vous permettront d'accéder gratuitement à Defcon à vie. Je complimente le DJ, puis continue mon petit bonhomme de chemin.

Dehors, j'allume un mec qui porte un t-shirt Monero. Nous entamons une conversation philosophique sur la cryptographie avec un autre participant aléatoire de Defcon. "Chaque fois qu'une technologie transformationnelle arrive, comme l'imprimerie ou Internet, elle change la société, le gouvernement et l'argent. Tu penses qu'on va encore distribuer des mouchoirs sales pour payer dans trente ans ? L'argent, c'est déjà des 1 et des 0, en ce moment. Un argument convaincant. Mais vous ne pouvez toujours pas acheter un badge dans Defcon avec des poignées de Bitcoin. Pour l'instant, le cash règne toujours en maître, même à Hackerville.

Pendant que nous parlons, une autre personne arrive avec un code QR sur un aimant. Il dit quelque chose à propos des badges aux autres personnes de la conversation, pêchant définitivement les noobs. Il n'est pas habillé comme un crétin et techniquement je suis en dehors de la conférence, donc je suppose que je suis clair. Je n'ai même pas de téléphone pour télécharger les logiciels malveillants qui se trouvent sur ce code QR. Mais je sors le GPS de la société de location de voitures, qui est techniquement un téléphone. Je pointe imprudemment leur téléphone vers le code QR. "Est-ce suffisant?" Je demande. "Oui, ça suffit", répond un pirate à proximité. « Wow, juste autant, hein ? Le plus drôle, c'est que je ne possède même pas de téléphone. Ils regardent d'un air dubitatif le téléphone dans ma main.

Maintenant que je suis un peu défoncé, il est temps de faire la fête. John m'a parlé d'une soirée au Flamingo et il y a aussi une action caritative pour l' Electronic Frontier Foundation , qui sont les personnes qui ont aidé à sauver Internet avec Aaron Swartz. Une fois, je me suis déguisé en Rick Astley lors d'une manifestation de l'EFF devant un magasin Verizon à Boston, alors je me compte parmi les partisans de la cause. Je tombe sur quelques organisateurs Defcon au Flamingo, mais personne ne peut m'indiquer la direction de la soirée EFF, alors je décide de retourner dehors pour fumer un peu plus et méditer un peu.

Je me réveille avec un policier qui me demande une pièce d'identité.

J'ai dû m'endormir au son de cette cascade. "Suis-je détenu ou suis-je libre de partir?" je demande à l'officier. "Vous n'êtes pas détenu", répond-il, "Voyons juste une pièce d'identité ou vous devrez partir." Je commence à rassembler mes maigres possessions et réponds que je suis prêt à partir. « Tu connais la sortie ? » me demande l'officier en s'éloignant. "Personne ne connaît le moyen de sortir de ces endroits", dis-je en référence aux labyrinthes intérieurs sans fin que sont les casinos. Mais il n'écoute pas.

Ce banc est l'emplacement exact de l'incident de méditation.

Quand je reviens au voiturier où j'ai laissé ma voiture, l'endroit est vide à l'exception de ma voiture. Combien de temps ai-je été évanoui ? Je découvre qu'il est plus d'une heure du matin. J'arrive trop tard pour récupérer ma voiture de location. J'ai raté le cercle de tambour pour démarrer. La plupart des soirées annoncées de Defcon sont terminées depuis longtemps. Comme tout mon équipement est dans la voiture et que le voiturier a mes clés, je n'ai même pas de carte de crédit pour réserver une chambre d'hôtel ou une voiture pour me rendre chez mon ami. On dirait que je marche sur le Strip jusqu'au lever du soleil.

Maintenant que c'est le milieu de la nuit, c'est le moment idéal pour acquérir des informations d'identification, alors je retourne au Forum. Le périmètre est bouclé et l'équipe de nettoyage est sur place. Mais il y a toujours un moyen d'entrer. Plus tôt dans la journée, en sortant avec ce joint, j'ai cassé une porte, ce qui est pratique maintenant. Sur les forums, les participants de Defcon parlent de Linecon, qui est la file d'attente de plusieurs heures qu'il faut pour obtenir des badges le premier jour.

La ligne à 0100 le deuxième jour est inexistante.

Comme la salle est vide et que personne n'est présent pour m'aider à m'inscrire, je me sers de quelques justificatifs. J'en choisis un vert bleuâtre au lieu du blanc standard. Des badges de différentes couleurs sont un symbole de statut dans ce pays, qui vous identifie en tant qu'humain, crétin ou locuteur (ainsi qu'un tas d'autres couleurs).

Le badge Defcon est hautement fonctionnel. Il s'agit d'une boîte à rythmes et d'une carte de boucle avec une lumière LED multicolore clignotant en haut. En ramassant un cordon, je remarque des paquets de t-shirts rouges sans surveillance. Tentant. Mais je décide que c'est probablement plus de problèmes que ça n'en vaut la peine puisque Defcon a affiché des pancartes sur de faux badges de crétins partout sur les murs.

Après quelques heures passées à visiter les casinos à thème aléatoires du Strip de Vegas, qui sont tous ouverts toute la nuit, je retourne à ma voiture de location et j'appelle mon ami local en utilisant une connexion VOIP au Starbucks à proximité. Nous prenons un brunch à The Cracked Egg, qui est le genre d'endroit où manger si vous habitez ici. Je le régale avec l'histoire du crash de Defcon et l'invite à me rejoindre pour la deuxième partie. Il accepte l'invitation et nous retournons vers le Forum dans ma voiture de location.

Cette fois, la sécurité nous arrête à l'entrée principale. « Vous n'êtes pas censé être ici, messieurs. Faites demi-tour et allez dans l'autre sens. C'est une déclaration de fait étonnamment vraie. Comment le sait-il cependant ? Je pousse mon copain à montrer les identifiants bleu-vert que j'ai empruntés pendant que j'agite le programme DEFCON dans les airs comme si nous appartenions ici. « Oh, vous êtes au bon endroit. Allez-y les gars, portez juste un masque », dit le garde.

Le seul appel rapproché avec la sécurité que j'ai eu en quarante-huit heures à Defcon (à part les flics au Flamingo).

Tout le monde est dans la grande salle en train de regarder la cérémonie de remise des prix Defcon, qui distribue ces badges noirs très recherchés. Nous nous dirigeons vers l'inscription, qui compte maintenant une poignée de personnes à l'intérieur, toutes regardant leurs téléphones. Je dépose une copie de ma présentation, " Pwn'ing the House of Haxxor: Pen Testing DEFCON 30 " sur le dessus du clavier assis sous l'écran d'affichage des caméras de sécurité. Personne ne nous remarque.

J'attrape un gars qui monte sur scène. « Je viens de sortir de l'inscription. Pouvez-vous mettre cela sur le podium pour nous? Dans une écriture bâclée, les diapositives sont marquées "Pour une mention honorable". Signé, Lucie.

Il se dirige vers la scène et tend le jeu à un crétin hors de la scène. Si le gars sur le podium nous a donné une mention honorable, nous ne sommes pas restés pour le voir. Nous sommes restés juste assez longtemps pour nous assurer que les diapositives arrivent sur scène. C'était suffisant pour considérer le message délivré.

Lorsque j'ai quitté Disneyland pour la première fois deux jours auparavant, j'étais en mission auto-assignée pour pirater les pirates. On parle beaucoup d'"OpSec" ou de sécurité opérationnelle dans ces équipages. DEF-CON signifie "condition de préparation à la défense". Nous avons mis leur nom à l'épreuve.

Mais ce n'est que la moitié de l'histoire.

À la fin du week-end, je m'étais fait de nouveaux amis, j'avais appris quelques trucs et astuces et j'avais réalisé que j'appartenais à la foule de hackers de Defcon plus que je ne l'avais pensé au départ. Le thème de DEFCON30 était « Retrouvailles ». Pour moi, c'était vraiment comme rentrer à la maison.