Hackeando a Casa: Testando a Condição de Prontidão de Defesa do DEFCON

Estou andando de um lado para o outro na Las Vegas Strip com uma placa-mãe presa ao peito, pendurada em um cordão. Turistas errantes e funcionários de cassinos locais me dão uma olhada louca. A maioria deles não tem ideia do que é um DEFCON ou onde você iria para encontrar um. Tudo bem, estou sorrindo de volta para eles, maliciosamente.

Acabei de conquistar a Casa de Haxxor. E eu tenho os recibos para provar isso.

Minha jornada de fim de semana para o maior encontro de hackers do mundo começou na Disneylândia de todos os lugares. É onde eu pego um carro alugado, que tem um negócio de “compre um dia, ganhe três”, contanto que você esteja de volta às 08:00 da manhã de segunda-feira. Eu deveria ser capaz de fazê-lo até então. Pelo menos, esse é o plano.

Retirando o lote, tento encontrar algumas músicas decentes sem muitos comentários no rádio analógico, o que é difícil mesmo em uma cidade grande como LA Não é uma boa ideia trazer seu telefone, cartões de crédito ou laptops para DEFCON (então eu fui avisado). Eu tenho experimentado um protocolo sem telefone por algum tempo agora. A locadora de carros me dá um GPS conectado ao celular, para que eu possa seguir a estrada digital até a Meca do jogo.

Cheguei ao deserto entre LA e Vegas, onde parece haver apenas bandas mariachi e música cristã por um bom trecho de cento e sessenta quilômetros. Desligo o rádio, estou sozinha com meus pensamentos e focada na estrada à frente. Como será o Defcon? Quantas pessoas estarão lá? Eu ainda pertenço aqui? É a minha primeira vez, apenas um noob, e estou planejando entrar na convenção, então estou sentindo uma mistura de incerteza com antecipação e empolgação.

O estacionamento custa apenas sete dólares na Strip de Las Vegas, se você souber para onde ir, outro hack de viagem que é útil ter à sua disposição. “Lembre-se de estar de volta às onze”, o atendente do estacionamento grita para mim, “ou você vai ficar trancado até as dez da manhã.” Garanto a ela que voltarei a tempo. Um amigo local que conheci no Burn me convidou para uma roda de bateria, então tenho planos de deixar a banda muito antes disso.

Do outro lado da rua está o The Forum at Caesar's, que é o local da Defcon este ano. Assim que abro uma porta perto do Linq, estou dentro do perímetro da conferência. Eu me misturo à multidão de homens de vinte a quarenta anos, a maioria vestidos de preto com mochilas, todos com chips de computador presos ao peito. Esse deve ser o lugar.

Caminhando em direção à entrada da conferência, ainda não tenho planos de como entrar. Antes de apresentar estratégias elaboradas sem conhecimento da experiência real, é melhor simplesmente começar testando os porteiros. Eu começo uma conversa com alguns colegas participantes do DEFCON que estão falando sobre arrombamento e “segurança física”. Não conheço a linguagem do reino, mas sei um pouco sobre o primeiro tópico. Conversar com eles significa que agora estou entrando com amigos em vez de ir sozinho.

"Uhh, eu estou indo para o registro", murmuro para o guarda de segurança sentado nos portões da Defcon. “Não, você tem que estar usando uma máscara. Aqui,” ele diz e nem me incomoda com credenciais. Nos dias pós-pandemia, grandes aglomerações de pessoas estão mais preocupadas em se tornar um evento superdivulgador do que em garantir que todos sejam pagos para entrar.

Con caiu, confira.

Entro na sala principal do Defcon e é enorme. Imagine um show de rock para uma banda de nível médio que está prestes a se tornar famosa. Há capangas por toda parte, o exército voluntário de Defcon. Não tenho certeza de como esses camisas vermelhas estão preocupados em verificar as credenciais. Então, pego um assento rápido e enrolo um baseado enquanto um garoto explica como ele fez Rick Roll em todo o distrito escolar como uma pegadinha do último ano. Conheça os heróis da próxima geração.

Dentro desta sala há uma mistura interessante dos hackers de elite do mundo, entusiastas de codificação fanáticos e espiões do governo. Pessoas que hackearam bancos e governos estão sentadas ao meu lado em algum lugar. As legiões de anônimos estão aqui IRL. É um quadro de mensagens IRC dos bandidos mais famosos da internet que decidiram se encontrar pessoalmente. Não há cartazes de procurado aqui - apenas hackers com histórias de guerra sobre serem presos por federais. E instruções sobre como hackear o código legal para se livrar de problemas se for pego.

Pegando emprestado um programa Defcon de um participante próximo, eu recebo a configuração do terreno. As conversas são principalmente nas grandes salas. Demonstrações práticas e vilas de hackers práticas estão em salas de descanso. É aqui que percebo que hackear é uma tenda muito maior do que eu pensava. Há uma vila de biohackers, um lugar para entusiastas de rádio amador e até mesmo um canto dedicado a hackear (e proteger) máquinas de votação. Eu me encaixo em pelo menos algumas dessas caixas. Talvez eu pertença aqui, afinal.

“Você também pode ser um hacker”, penso comigo mesmo.

Evitando os capangas, vou até a sala de arrombamento. Tenho um presente para o Deviant Ollaf, que ajudou a inspirar uma joia que uso todos os dias. Ouvi dizer que ele fica por aí. Há um cara dando uma palestra básica sobre arrombamento 101 e um punhado de pessoas em uma mesa de coquetel tentando arrombar fechaduras. Eu falo merda sobre Master Locks, então luto por muito tempo para quebrar o cadeado, o que eu finalmente descubro depois de alguns conselhos úteis. Fazemos amigos rapidamente e mostro a eles algumas dicas e truques. Também recebo algumas dicas do apresentador sobre como melhorar minha prática (“use uma pressão mais suave”).

John é de DC e me pergunta sobre testes de caneta. "O que é isso?" Pergunto-lhe. Ele me dá um olhar assustado como se eu não pertencesse aqui, o primeiro que recebi até agora. Rut roh. “Teste de penetração. Procurando brechas na segurança física”, ele responde. “Ah, já fiz muito disso”, garanto a ele, “só não sei como vocês chamam isso.” Conversamos um pouco sobre sua prática de consultoria e minha história pessoal com o Serviço Secreto, onde sou um tanto infame.

Juntos, caminhamos até uma grande sala escura que me lembra uma rave dos meus tempos de faculdade. Há pessoas fantasiadas vagando por aí, luzes de néon, bancos de telas de computador e uma máquina de venda automática com uma multidão de universitários aprendendo a hackear comida de graça. Um comediante hacker está no palco realizando truques de mágica e os resultados de um concurso de hackers sendo anunciados em outro canto da sala.

Há algo para todos aqui, diversão para toda a família.

Depois disso, vagamos até a vila de segurança física, onde fica a demonstração de hacking de algemas. Eu mostro uma joia com uma chave de algema escondida e destravo um conjunto de algemas do meu pulso. Um cético pergunta: “Sim, mas como você vai conseguir quando suas mãos estão atrás das costas?” Deixei que ele me algemasse e então pulei na mesa e puxei meus joelhos pelas minhas mãos algemadas, então me livrei das algemas em menos de um minuto. Em seguida, mostro a John os fundamentos de escolher algemas com um grampo de cabelo, e nós dois praticamos o calço de portas nos numerosos exemplos de batentes de porta que Defcon colocou nas mesas.

Convido John para fumar aquele baseado, mas ele tem um lugar para ficar. Tenho a sensação de que ele está no relógio, então nos separamos sem trocar informações de contato. O prêmio pelo anonimato é tão alto que os organizadores do Defcon só aceitam dinheiro e não permitem que você pague com cartão de crédito no momento do registro (não que eu saiba disso por experiência própria). Portanto, todas as conexões feitas aqui parecem destinadas a serem perdidas, a menos que vocês se encontrem aleatoriamente na web durante uma operação.

Vejo você no próximo golpe, John.

No caminho para fora, ouço uma batida intensa de bateria e baixo dentro de uma sala com uma placa com a inscrição “Capture the Flag”. Eu espio dentro e ando pela sala, maravilhada com as telas cheias de códigos. Equipes de hackers competitivos apertam a testa em frustração coletiva. Ao contrário dos visuais sensuais retratados em filmes sobre hacking, este é o negócio real. É apenas uma variedade infinita de letras brancas em telas pretas. Uma equipe nesta sala ganhará o prêmio das insígnias pretas, que garantem entrada gratuita no Defcon por toda a vida. Cumprimento o DJ e continuo meu alegre caminho.

Do lado de fora, eu queimo a luz de um cara vestindo uma camiseta do Monero. Iniciamos uma conversa filosófica sobre criptografia com outro participante aleatório da Defcon. “Toda vez que uma tecnologia transformacional surge, como a imprensa ou a internet, ela muda a sociedade, o governo e o dinheiro. Você acha que ainda vamos distribuir lenços sujos para pagar as coisas daqui a trinta anos? O dinheiro já é 1 e 0, agora.” Um argumento convincente. Mas você ainda não pode comprar um crachá no Defcon com um punhado de Bitcoin. Por enquanto, o dinheiro ainda reina supremo, mesmo em Hackerville.

Enquanto conversamos, outra pessoa se aproxima com um código QR em um ímã. Ele está dizendo algo sobre insígnias para as outras pessoas na conversa, definitivamente pescando noobs. Ele não está vestido como um idiota e tecnicamente estou fora da conferência, então acho que estou livre. Eu nem tenho um telefone para baixar qualquer malware que esteja naquele código QR. Mas eu pego o GPS da locadora de carros, que é tecnicamente um telefone. Aponto imprudentemente o telefone deles na direção do código QR. "Isso é suficiente?" Eu pergunto. “Sim, chega”, responde um hacker próximo. “Uau, só isso, hein? A parte engraçada é que eu nem tenho um telefone.” Eles olham duvidosamente para o telefone na minha mão.

Agora que estou um pouco chapado, é hora de festejar. John me contou sobre uma festa no Flamingo e também há uma coisa de caridade para a Electronic Frontier Foundation , que são as pessoas que ajudaram a salvar a internet com Aaron Swartz. Certa vez, me vesti de Rick Astley em um protesto da EFF do lado de fora de uma loja da Verizon em Boston, então me considero um dos apoiadores da causa. Eu esbarro em alguns organizadores da Defcon no Flamingo, mas ninguém pode me indicar a direção da festa da EFF, então eu decido voltar para fumar um pouco mais e meditar um pouco.

Acordei com um policial pedindo minha identificação.

Deve ter cochilado ao som daquela cachoeira. “Estou sendo detido ou estou livre para ir?” pergunto ao oficial. “Você não está sendo detido”, ele responde, “vamos apenas ver alguma identificação ou você precisará sair.” Começo a juntar minhas poucas posses e respondo que estou pronta para ir embora. “Você sabe a saída?” O policial me pergunta enquanto se afasta. “Ninguém sabe a saída desses lugares”, digo, referindo-me aos intermináveis labirintos internos que são os cassinos. Mas ele não está ouvindo.

Este banco é o local exato do incidente de meditação.

Quando volto ao manobrista onde deixei meu carro, o lugar está vazio, exceto pelo meu carro. Quanto tempo fiquei desmaiado? Descubro que já passa da uma da manhã. Estou muito atrasado para pegar meu carro alugado. Eu perdi o círculo de bateria para inicializar. A maioria das festas anunciadas da Defcon já terminaram há muito tempo. Como todo o meu equipamento está no carro e o manobrista está com minhas chaves, não tenho nem cartão de crédito para reservar um quarto de hotel ou um carro para ir até a casa de um amigo. Parece que estou andando pela rua até o nascer do sol.

Agora que é madrugada, é o momento perfeito para adquirir credenciais, então volto para o Fórum. O perímetro está fechado e a equipe de limpeza está no local. Mas há sempre uma maneira de entrar. No início do dia, enquanto saía com aquele baseado, abri uma porta, o que vem a calhar agora. Nos fóruns, os participantes do Defcon falam sobre o Linecon, que é a fila de horas que leva para conseguir crachás no primeiro dia.

A linha às 01h00 do segundo dia é inexistente.

Como a sala está vazia e ninguém está presente para me ajudar a registrar, eu me sirvo de algumas credenciais. Eu escolho um verde azulado em vez do branco padrão. Insígnias de cores diferentes são um símbolo de status nesta terra, que o identifica como humano, idiota ou falante (assim como um monte de outras cores).

O emblema Defcon é altamente funcional. É uma bateria eletrônica e uma placa de loop com uma luz LED multicolorida piscando na parte superior. Pegando um cordão, noto pacotes de camisetas vermelhas de capangas desacompanhadas. Tentador. Mas eu decido que provavelmente é mais problema do que vale a pena, já que Defcon colocou placas sobre distintivos falsos de capangas por todas as paredes.

Depois de algumas horas visitando os cassinos com temas aleatórios na Strip de Las Vegas, que ficam abertos a noite toda, volto para o meu carro alugado e ligo para meu amigo local usando uma conexão VOIP no Starbucks próximo. Tomamos um brunch no The Cracked Egg, que é o tipo de lugar que você come se mora aqui. Eu o entrego com a história da quebra do Defcon e o convido a se juntar a mim para a parte dois. Ele aceita o convite e voltamos para o Fórum no meu carro alugado.

Desta vez, a segurança nos para na entrada da frente. “Vocês não deveriam estar aqui, cavalheiros. Vire-se e vá para o outro lado. É uma declaração surpreendentemente verdadeira do fato. Como ele sabe disso? Eu cutuco meu amigo para mostrar as credenciais verde-azuladas que peguei emprestadas enquanto aceno o programa DEFCON no ar como se pertencêssemos a este lugar. “Ah, você está no lugar certo. Vá de cara, é só usar máscara”, diz o guarda.

A única ligação com segurança que tive em quarenta e oito horas na Defcon (além dos policiais do Flamingo).

Todos estão na grande sala assistindo à cerimônia de premiação do Defcon, que entrega os cobiçados distintivos pretos. Seguimos para o registro, que agora tem um punhado de pessoas lá dentro, todas olhando para seus telefones. Eu coloco uma cópia da minha apresentação, “ Pwn'ing the House of Haxxor: Pen Testing DEFCON 30 ” em cima do teclado sentado abaixo da tela de exibição das câmeras de segurança. Ninguém nos nota.

Pego um cara que está indo para o palco. “Acabei de chegar do registro. Você pode colocar isso no pódio para nós?” Com uma caligrafia desleixada, os slides estão marcados como “Menção Honrosa”. Assinado, Lucy.

Ele segue em direção ao palco e entrega o baralho para um capanga fora do palco. Se o cara no pódio realmente nos deu uma menção honrosa, não ficamos para ver. Ficamos apenas o tempo suficiente para garantir que os slides chegassem ao palco. Isso foi o suficiente para considerar a mensagem entregue.

Quando deixei a Disneylândia pela primeira vez, dois dias antes, eu estava em uma missão autoatribuída para hackear os hackers. Fala-se muito em “OpSec” ou segurança operacional nessas equipes. DEF-CON significa “condição de prontidão de defesa”. Colocamos o nome deles à prova.

Mas isso é apenas metade da história.

No final do fim de semana, fiz alguns novos amigos, aprendi algumas dicas e truques e percebi que pertencia à multidão de hackers da Defcon mais do que pensava originalmente. O tema do DEFCON30 foi “Homecoming”. Para mim, foi como voltar para casa de fato.