W Las Vegas temperatura przekraczała 40 stopni Celsjusza. Nie przeszkadzało to jednak zbyt mocno uczestnikom kolejnej, 26 już, konferencji DEF CON – opowiada Wojtek, który zdecydował się podzielić swoimi wrażeniami z tego wydarzenia.
Poniżej znajdziecie wpis gościnny. Dziękujemy Wojtkowi za relację – jeśli macie swoje wspomnienia z DEF CON-u lub Black Hata, to nie krępujcie się z ich przesyłaniem.
Wojtek Bojdoł – niezależny przedsiębiorca, elektronik, psycholog. Od ponad 20 lat pasjonat oprogramowania open source, w szczególności Linuxa. Pomaga średnim i dużym firmom przygotować się do awarii lub incydentów.
Konferencja z każdym rokiem staje się większa. Ostatnio odbywała się na terenie Ceasars Palace. W tym roku wykorzystano również obiekt po drugiej stronie ulicy – hotel Flamingo. Cztery niezależne, ogólnodostępne ścieżki wykładowe (1, 2, 3 oraz 101). Dodatkowo skytracks – ścieżka, gdzie zabronione było używanie elektroniki w trakcie wykładu, by zapewnić prelegentom maksymalną swobodę wypowiedzi. Oprócz tego wiele wiosek tematycznych – niektóre pozwalały zapoznać się z konkretnymi rozwiązaniami sprzętowymi (car hacking village), inne (jak np. ai village) miały głównie wykłady dotyczące konkretnego tematu. Jeszcze inne, jak np. biohacking village, pozwalały zarówno zobaczyć prawdziwe rozwiązania z tego obszaru, jak również posłuchać wykładów w osobnej sali.
A było w czym wybierać
Oczywiście nie sposób być wszędzie. Dodatkowym utrudnieniem były kolejki. Ale tego nie sposób uniknąć, gdy liczba uczestników przekracza 20 tysięcy. W ostatnim roku było ponad 25, w tym roku nie zdziwi mnie, jeśli liczba uczestników przekroczyła 30 tysięcy. Na szczęście organizatorzy, podobnie jak przed rokiem, postarali się o dodatkowe rozwiązania sprzętowe. Już w tzw. day-0 (czwartek) po południu działał w miarę sprawnie publiczny streaming online ścieżki 101. Drugiego dnia po południu defcon tv był już w pełni funkcjonalny – o ile track 101 dostępny był jako streaming, o tyle pozostałe ścieżki 1-3 były dostępne w pokojach Ceasars Palace i kilku okolicznych hoteli jako kanały telewizyjne.
Poziom wykładów był wysoki, mimo szerokiego zakresu merytorycznego. Już pierwszego dnia spore wrażenie na wielu uczestnikach wywarł praktyczny opis metod gubienia ogona (Wagging The Tail – Covert Passive Surveillance And How To Make Their Life Difficult).
Sporo było wykładów poświęconych problemom sprzętowym i programowym w branży medycznej. Mnie osobiście zainteresował problem z oprogramowaniem używanym przez sądy w analizach materiału DNA. Z wielu poprzednich badań na temat wpływu społecznego i tematyki pamięci wiadomo o przypadkach, gdy świadkom przestępstw (świadomie lub na skutek błędów proceduralnych w trakcie zbierania zeznań) implantowano fałszywe informacje, zwane fałszywymi wspomnieniami. W rezultacie niewinne osoby były skazywane na karę więzienia na podstawie zeznań świadków. Rezultaty badań DNA traktowane są jako niezależne od czynnika ludzkiego, gwarantujące pełny obiektywizm dowody uznawane w sądzie. Jednak w trakcie jednego z wykładów (You’re just complaining because you’re guilty: A DEF CON Guide to Adversarial Testing of Software Used In the Criminal Justice System) prelegenci wysnuli wiele wątpliwości.
Analiza materiału DNA jest współcześnie realizowana przez program komputerowy. Ten, podobnie jak inne programy, może mieć błędy. Niestety, podobnie jak wiele innych technologii związanych z weryfikacją materiałów dowodowych (np. wariografy) oprogramowanie to nie jest dostępne publicznie. Podobnie jak w przypadku innych programów komputerowych, to oprogramowanie jest wciąż udoskonalane. Mając możliwość przeprowadzenia różnych testów, zweryfikowano, czy dla historycznych danych DNA różne wersje programu zwracają takie same rezultaty. Okazuje się, że gdyby materiał dowodowy, użyty do skazania osoby wiele lat wcześniej, był weryfikowany dzisiaj, rezultat byłby kompletnie inny.
Dla mnie to przerażające, zwłaszcza że w wielu krajach na świecie zaufanie do sądów i organów ścigania jest ograniczone. Czy my – jeśli zostaniemy oskarżeni na podstawie materiału dowodowego analizowanego przez oprogramowanie komputerowe – mamy prawo domagać się przeanalizowania tych samych dowodów alternatywnym oprogramowaniem? Czy społeczeństwo (lub przynajmniej biegli sądowi na zlecenie sądu) ma prawo zapoznać się i zweryfikować kody źródłowe tego oprogramowania? Według prelegentów – powinniśmy się tego domagać.
Innym ciekawym tematem, którego nie mogło zabraknąć również na tej konferencji, były tzw. fake news. Prawie dwugodzinna prelekcja zaprezentowała wyniki śledztwa dotyczące konkretnej firmy – organizacji, która wydaje wiele czasopism i organizuje konferencje. Podobnie jak w pewnym przypadku z naszego polskiego podwórka, prelegenci wygenerowali generatorem pseudonaukowy artykuł na abstrakcyjny temat. Pomimo że nawet osoby bez tytułu naukowego były w stanie rozpoznać, że artykuł to żart, został on opublikowany. Oprócz tego autorzy zostali zaproszeni jako prelegenci do udziału w konferencji naukowej, gdzie za swój wykład dostali brawa.
O ile ta fałszywa publikacja dotyczyła technologii związanych z IT, o tyle ich kolejna próba dotyczyła branży medycznej. W tym przypadku również artykuł trafił do jednego z czasopism i otrzymał wiele pozytywnych recenzji. Najbardziej przerażający w ich analizie jest przypadek pseudoleku na raka, który dzięki publikacjom w czasopismach tej samej pseudokorporacji naukowej stał się w pewnym momencie popularny w wielu krajach. Cały ten biznes produkujący pseudonaukowe publikacje jest tak skuteczny, że nawet prawdziwi naukowcy z największych uczelni, takich jak m.in. Stanford, zaczęli traktować je jako czasopisma naukowe i publikować w nich wyniki swoich prac. Zdaniem prelegentów takie zachowanie utrudnia zwykłym ludziom weryfikację źródła. Czy w takim wypadku na naszym krajowym podwórku powinniśmy ignorować konferencje organizowane przez pewne wydawnictwo? Pytanie nie jest łatwe, jednak zdaniem prelegentów – to jedyna droga do walki z fake news.
Poza wysokim poziomem merytorycznym, również kwestie organizacyjne były interesujące. W całej przestrzeni konferencji, zarówno na salach, w korytarzach, jak i wśród materiałów konferencyjnych, nie zauważyłem reklam firm z branży. Ani jednego logo czy banneru. Przy tej liczbie uczestników i wielkości obiektu to nie mogło być łatwe. Pierwsze reklamy, jakie zwróciły moją uwagę, pojawiły się w defcon tv i były to reklamy produktów ATARI :D Organizatorzy postanowili poza godzinami wykładów użyć jednego z kanałów do odtwarzania historycznych reklam przygotowanych wiele lat temu przez tego producenta komputerów.
Kilka wskazówek na przyszłość
Jakie wskazówki można przekazać osobom, które planują udział w przyszłych edycjach? Nawet będąc na miejscu, macie szansę zobaczyć tylko 10%, dlatego dobrze zaplanujcie, co chcecie zobaczyć. Typowa kolejka do ścieżek głównych, skytracks czy villages wymaga ustawienia się w niej nawet na godzinę przed wykładem. Ten czas oczywiście nie będzie zmarnowany – kolejki to świetna okazja, by poznać nowych przyjaciół i wymienić się doświadczeniami. Większość mniejszych sal po każdym wykładzie musimy opuścić i ustawić się ponownie w kolejce – to dodatkowe utrudnienie. W przypadku skytracks – możemy wkupić się poprzez darowiznę. Jednak w wielu innych przypadkach zobaczymy co drugi wykład. Defcon tv w tym przypadku jest bardzo wygodne – z hotelowego pokoju możemy przełączać się między kanałami. Jednak większość z wykładów, jakie tam zobaczymy, prędzej czy później będzie dostępna na YouTube. Dlatego w trakcie konferencji warto wybrać się na wykłady bez kamer.
Dobrym pomysłem jest wcześniejszy przylot. Jeśli ktoś wybiera się również na BlackHat – na pewno będzie na miejscu cały tydzień i nie będzie miał zbyt wiele czasu wolnego. Jednak przybywając tylko na DEF CON, jeśli jest się pierwszy raz, warto przybyć nawet na dzień przed day-0. W tym roku rejestracja odbywała się bardzo sprawnie – po przyjściu o 8:30 zajęła mi 15 minut. Jednak kolejka do oficjalnych gadżetów – SWAGs – wymagała nawet kilku godzin stania. A te najfajniejsze koszulki w popularnych rozmiarach rozeszły się bardzo szybko. Pamiętajcie też o gotówce. Zarówno za udział, jak i za gadżety, płacimy gotówką. Szkoda zmarnować kilka godzin w kolejce, by odejść z kwitkiem. Oficjalny t-shirt kosztował w tym roku pomiędzy 25 a 35$, więc jeśli chcemy kupić prezenty dla znajomych, warto zabrać ze sobą odpowiedni zapas.
Innym argumentem, by zjawić się wcześniej, jest fakt, że hotele w Vegas są bardzo duże. Już pierwszego dnia odnalezienie tej windy, która prowadzi do naszego pokoju może sprawić nam problemy. Powrót po imprezach bywa dużo trudniejszy. Warto poświęcić kilka godzin, by poznać „teren” i ścieżki pomiędzy różnymi salami wykładowymi, zanim pojawi się tłum. Oczywiście nie możemy zapominać o nawodnieniu – w trakcie konferencji w Vegas panują zwykle temperatury rzędu 30-45°C i łatwo się odwodnić. Dlatego warto wcześniej zaopatrzyć swój pokój w zapas wody, zwłaszcza jeśli mamy ograniczony budżet.
W tym roku defcon tv uruchomione zostało w pierwszej kolejności w Caesars Palace, pozostałe hotele mogły z niego korzystać znacznie później. Dlatego – w przypadku odpowiedniego budżetu – warto było wybrać główny hotel konferencji. Jednak nie wiadomo, czy za rok będzie podobnie – organizatorzy ogłosili już, że w przyszłym roku impreza odbędzie się w innych hotelach. Nawet jeśli ktoś nie może przyjechać do Vegas – warto śledzić dctv.defcon.org. W tym roku ścieżka 101 oraz track 1 były streamowane publicznie. Przejrzyjcie materiały z poprzednich edycji publikowane na defcon media serwerze oraz na YouTube. Wiele prelekcji było nagrywanych i nagrania są dostępne publicznie. Nasz rodzimy Confidence nie odbiega mocno poziomem merytorycznym, jednak wybór ścieżek na DEF CON jest olbrzymi. No i co najważniejsze – liczba uczestników jest przeogromna. Jeśli wydaje Ci się, że jesteś jedynym w swoim rodzaju geekiem, pojedź na DEF CON, a zmienisz zdanie.
Komentarz
„Nasz rodzimy Confidence nie odbiega mocno poziomem merytorycznym, jednak wybór ścieżek na DEF CON jest olbrzymi.”
To chyba dość odważne stwierdzenie, biorąc pod uwagę, że podczas prezentacji zaprezentowano conajmniej kilka 0-dayi na sprzęt topowych vendorów.