DEFCON 24

В этом году мне в первый раз довелось побывать на дефкон-е! Об этом я мечтал давно, так как дефкон – одно из самых культовых сборищ хакеров в мире. Конечно, я не хакер и достаточно далек от этого, но мне всегда хотелось съездить и потусоваться с настоящими хакерами!

IMG_2362_23-08-2016_20-54-29

Введение:

Справедливости ради я должен объяснить, что моя компания согласилась оплатить поезду на дефкон под предлогом изучения техники безопасности. Как ни как, а у кого лучше всего учиться? Если серьезно, то много у кого. В интернете полно информации что и как учить и мест где практиковаться. Однако я решил, что это досадные детали и лучше принять предложение пока оно доступно. Я потратил некоторое время знакомясь с FAQ дефкона и лекциями, которые будут проходить. Выучив все азы и выбрав наиболее интересные лекции, я чувствовал, что готов к этому мероприятию и получу все 200% отдачи. Забегая далеко вперед, честно признаюсь – я не был готов!

Цены:

Обычно я стараюсь оставлять цены за кадром, так как приобретенный опыт тяжело измерить, но на этот раз я хотел бы поставить цены на передний план, потому что в моей голове все ещё идет борьба за ROI (return on investment). Сама конвенция довольно дешевая, за $240 долларов вы получаете возможность пойти на любую лекцию, поучаствовать в соревнованиях, послушать приватные беседы хакеров, сходить на любую вечеринку и, конечно же, попробовать свои силы во взломе замков, сетей и практически всего, что попадется под руку! Однако, что остается за кадром – ВЕГАС! В Лас-Вегасе цены не маленькие, в особенности, если не париться и покупать где придётся. Например, пачка сигарет, купленная в отеле, встанет вам в $14 долларов – это дороже чем в Канаде! Так же стоит упомянуть цены за отель – $100-260 долларов за ночь это нормально (резервируйте заранее), особенно если вы остаетесь в отеле, где проходит конвенция. Обед может довольно легко встать вам в $20, а если вы зашли в ресторан – $30 это норма. Завтрак выглядит не намного лучше, когда в FAQ Дефкона писали, что потратить $50 до полудня это плевое дело, я не верил, пока сам не оставил $60 на кофе и булочки для 4-х человек. Пиво тоже не дешевое – $6 это обычная цена в отеле за банку.

Но не все так плохо! Если заранее все продумать и подготовить, то можно довольно хорошо провести время, не продавая одну из своих (или чужих) почек. Из личного опыта я настойчиво рекомендую установить приложение Yelp – оно поможет вам отыскать хорошие места для обеда и ужина по нормальным ценам. Так я отыскал отличную пиццерию в 5 минутах ходьбы от отеля. Пицца была вкусная, а цены умеренные – $6 за огромный кусок пиццы. Точно так же я нашел отличную забегаловку, в которой готовили великолепные бургеры ($5-6), но она уже находилась в 15-20 минутах ходьбы. Один важный и досадный момент, который я пропустил – отсутствие холодильника и микроволновки в комнате отеля! Я рекомендую снимать комнату с этими бытовыми приборами, если вы планируете уменьшить расходы на еду, закупая еду быстрого приготовления в универмаге. Так же советую установить приложение Uber. Поездка из аэропорта до отеля может оказаться дорогостоящей, если вы пользуетесь услугами местного профессионального такси. Тут я не могу поделиться личным опытом, однако рассказы знакомых и дефкон FAQ твердо вбили в мою голову, что ехать на такси будет дорогостоящим приключением ~ $40-50, в то время как Uber будет стоить в районе $10-13. Заканчивая о ценах, советую взять с собой портфель, чтобы таскать в нем все необходимое, включая завтрак, обед и ужин, но об этом позже.

Все будет организованно:

Одной из моих фатальных ошибок оказалось непонимание разницы между конвенцией и конференцией. Я привык ездить на конференции, где все расписано, мест в классах достаточно для всех, а стоять в очереди приходится только за кофе. Дефкон – это конвенция, где количество билетов не ограничено, нет четкого руководства и все предоставлено вам самим! Этот момент является очень важным! Если вы хотите чтобы все прошло четко, то советую вам сдаться прямо сейчас. Вот вам интересный номер: на дефкон 24 приехало 22000 человек – теперь вопрос: как вы думаете, смогут ли хотя бы 50% людей посетить все заранее спланированные классы?

Мое приключение началось в среду вечером (примерно в 21:00), когда я приехал в отель и решил осмотреть местность, где начнется (четверг 6:00 утра) культовое мероприятие. Когда я дошел до места регистрации, то быстро обнаружил сидящих и лежащих в линию людей. Некоторые уже спали, другие играли в настольные игры, третьи пили и бурно что-то обсуждали. Да-да-да, очередь за билетами началась за 9 часов до открытия и спать приходится на полу – добро пожаловать на дефкон!

IMG_2242_23-08-2016_20-45-12

И тут можно вернуться к портфелю – это жизненная линия для вас! В нем должно находиться все необходимое и ничего больше. Теперь множитель необходимости портфеля зависит от нескольких факторов, начиная с того где вы взяли себе комнату 3-х часового сна (подробности позже). Если вы остановились в отеле, где проходит конференция, то множитель будет = 1, если нет, можете легко умножать на 2. В портфель нужно закинуть небольшое одеяло/подушку, воду, еду (желательно на 21 час), батареи для телефона и/или компьютера (если вы его взяли), а ещё таблетки от головной боли, нейрон-стимуляторы (например, редбуль), пиво, дезодорант (очень важно) и оставить место для всего хлама, который вы купите или вам дадут. Кстати, не забудьте запасные футболки, носки, крем от солнца (если вы всё же решитесь выйти в “свет”), ну и ещё раз повторюсь – дезодорант! Если выше описанное начинает вам напоминать поход, то вы все поняли правильно – дефкон это и есть поход, но только в пустыне каменных джунглей с толпой гиков.

Очень советую хорошо ознакомиться со всеми возможными мастерскими и другими мероприятиями, где нужно заранее зарегистрироваться! Это очень важно, потому что после того как вы про-стояли/-лежали/-сидели всю ночь и наконец-то купили билет(ы) (да, можно купить много), вам придётся сразу же бежать в другую очередь и тусоваться там ещё часик (максимум два), а после этого все мастерские будут забиты и вы туда уже вряд ли попадете. И вот подвох – регистрироваться можно только присутствующим. Другими словами, вы не можете зарегистрировать друга, который после бурной ночи ожидания решил вздремнуть 3 часа. Теперь стоит двинуть дальше – за свэгом (swag)! Если вы хотите футболки, кружки и другой хлам низкого качества по довольно весомой цене с надписью DEFCON 24, то “банкет продолжается” и вы проведете ещё часик-два в новой очереди, но к этому моменту вы уже должны начать привыкать. Отмечу, что если вы думаете подождать пока рассосется, это плохая идея – скорее всего того что вы хотели уже не будет, а оставшееся будет не по размеру.

Паранойя и Хакеры:

Не уходя далеко от темы планирования и денег, стоит поговорить о безопасности и хакерах. Скажу сразу – да, на дефконе все ломают. Это наглядно выражено как в официальных конкурсах, так и в неофициальных.

Используйте беспроводные технологии на свой страх и риск – в частности местные сети (отель не исключение). Простой совет – используйте мобильную связь, не используйте WiFi, Bluetooth и ни в коем случае не обновляйте прошивку своего телефона пока вы на конвенции (даже в аэропорту Лас-Вегаса). И да, мобильную связь тоже могут взломать и после конвенции. Что касается денег – берите наличные, потому что большинство продавцов принимают только наличные, а дефкон знаменит фальшивыми банкоматами. Однако не стоит впадать в полную паранойю – в отеле полно магазинов, которые принимают кредитки, и, на мой взгляд, это довольно безопасно.

Теперь главный вопрос: стоит ли брать компьютер? Ответ: зависит! Все зависит от того зачем вы на дефкон едете? Многие рекомендуют оставить компьютер дома – хватит пялиться в монитор, пора тусоваться! Ваш покорный слуга так и сделал, но многие мастерские (где вас тренируют быть “настоящим” хакером) требовали наличие компьютера. Так же, если вы хотите участвовать в конкурсах, играх и других компьютерных развлечениях, компьютер просто необходим. Мой совет прост – привозите чистый компьютер, без какой-либо личной информации, а после дефкона его нужно будет начисто вытереть и поставить все по новой.

Далее не стоит забывать – хакерство не заканчивается компьютерами! Социальное инженерство ещё один скилл любого хакера!
IMG_2247_23-08-2016_20-45-39

В связи с чем, не рекомендуется пить и поглощать продукты, которые просто так вам попали в руки. Хотя тут проще сказать, чем сделать. На дефкон-е полно тусовок и вечеринок, а там все льется и пьется. Но, на мой взгляд, все довольно безопасно, так как там будет одно из двух: или бармен, который нам намешает что угодно, или вы сами полезете в ванну со льдом и напитками на ваш выбор. Однако я остаюсь скептичен по поводу всяких пузырьков, которые раздают со словами: “держи – ты это заслужил…”. Соц. инженерия не останавливается на напитках с руфи, так же особо находчивые и/или красивые могут пролезать в такие места куда другим доступ запрещен. Например, особо симпатичная девочка пролезла через очень длинную очередь со словами: “а там стоят мои друзья…” и выражением несчастной, брошенной души. Если вы рылом не вышли, стоит искать другие методы – подарочки! Можно принести кофе, пончики и другие поглощаемые материалы любому громиле (goon) или организатору и есть шанс получить какую-нибудь штучку (item) или доступ на вечеринку. Из личного опыта однозначно посоветую не выходить из очереди! Но если вам пришлось выйти и отойти на достаточное расстояние (например, за пивом), то стоит акцентировать, что вы не пытаетесь обойти всю очередь, а несете пиво/кофе/ужин ожидающим друзьям. Если вы хотите попасть на всякие мероприятия и сократить время ожидания в очередях, то из лично опыта советую вам быть наглым! Не стесняйтесь, на дефконе принято наёбывать быть социально креативным, а если вас поймали, но при этом вы накреативили на все 200%, то это может повеселить громил и вам могут даже вручить что-нибудь прикольное. Однако, предупреждаю, спорить и залупаться на громил ни к чему хорошему не приведет. Если вы спалились и громила просек что к чему, стоит разрулить ситуацию всем на смех – смотришь, и громила повеселеет. В общем, лезьте везде и как можете, но не переступайте федеральный закон и терпение громилы.

День, ночь, день… а где я?:

Как вы уже поняли, на дефкон-е вы предоставлены самим себе и “что урвал, то и твоё”. Дефкон 24 начинался в 9 утра – это первая лекция, а это значит? – да, вы угадали, в очереди стоит нужно быть уже в 8:30!

IMG_2277_23-08-2016_20-47-44

Однако, тут стоит перевести фокус на саму лекцию – облачного разговора (skytalk). Облачный разговор – особый тип лекции. Его не найти в интернете, не услышать в аудио записи. Узнать о чем говорилось можно только со слов побывавших там людей. Весь смысл лекции заключается в том, что туда приходят люди поделиться опытом и рассказать то как они видят вещи, для этого они должны себя чувствовать в безопасности и приватно. По этой причине на лекции запрещены записывающие устройства, а если вас поймают (как поймали Брауна Кребса (Brian Krebs)), то выкинут и глазом не моргнут, при этом ещё удалят запись или уничтожат устройство! Облачный разговор, как любая другая лекция, может быть интересным, а может быть просто нудной – это как попадете (готовьтесь заранее), однако эксклюзив и материал заставляет задуматься.

IMG_2276_23-08-2016_20-47-37

После любой лекции перед вами встанет важный вопрос: оставаться сидеть в комнате или рискнуть пойти в другое место и надеяться, что там не будет очереди и/или будут свободные места! Если вы решили остаться, то рано или поздно созреют две проблемы: туалет и еда. Тут можно ещё раз упомянуть рюкзачок – с туалетом он не поможет, а вот с едой ещё как!!! Но даже если вы пришли подготовленные на весь день, то можете попасть в небольшую ловушку. День на дефконе начинается с 9:00, но не заканчивается… Ну хорошо, лекции обычно заканчиваются в районе 18:00-19:00, но дальше можно двинуть на конкурсы, кино-просмотры и другие развлечения… Возможно что-то закончится в 22:00, но тогда начнутся тусовки, пьянки и соревнования дронов. Если после этого вы все ещё стоите на ногах, то пора тащиться в ближайший водоем и продолжать веселиться. Сильно отличившиеся продолжат марш “несогласных” уже непонятно в каком часу и непонятно в каком направлении на просторах Лас-Вегаса.

Кстати, не стоит забывать – на дефконе так же есть небольшие под-конвенции – из личного опыта советую отыскать конвенцию педиков! Да-да она так и называется “Queer Con” и поверьте мне – это самая лучшая тусовка дефкона 24, ребята знают как веселиться. Вопреки первым мыслям там полно гетеросексуалов, а геи очень дружелюбные, образованные (инженеры, софт-разработчики и т.д.) ребята, которые, как и вы, хотят весело провести время.

IMG_2364_23-08-2016_21-02-15

И тут стоит сделать упор на одно слово – ОТЫСКАТЬ. Не все тусовки отмечены на карте (да, есть официальная карта дефкон-а), некоторые нужно отыскать вам самим и тут не забывайте про соц. скилл. Но не все тусовки можно отыскать используя только соц. скилл – помните тут хакеры тусуют! Особо 1337 тусовки можно найти, используя пейджеры, IRC каналы и решив головоломки.

И тут пора вернуться к комнате 3-х часового сна. Если вы собираетесь получить все 200% от дефкона, то спать вам стоит 3 часа! Все оставшееся время вы проведете на лекциях, мастерских, соревнованиях, тусовках, прогулках, практике и, конечно же, неотъемлемой части дефкона – стоянии в очереди. Где-то в промежутках вы ещё должным умудриться поесть, попить и сами знаете что. Дефкон – это 4 дня нон-стоп деятельности, где вы постоянно что-то делаете, а если этого не происходит, то вы теряете время зазря. Из личного опыта могу поделиться одной трезвой мыслью – на дефконе происходит много чего и вы можете себя почувствовать потерянными, но общайтесь с людьми – там собираются очень интересные люди, пробуйте что-то, даже если вы не знаете что вы делаете и, конечно, приобретайте новый опыт и друзей. Последнее “но”, если вы хотите серьезно заняться хакерством, то дефкон будет платформой для вашей карьеры. Вы потратите 4 дня, находясь на соревнованиях и, даже если не победите, всегда сможете попробовать свои силы на следующей год. На этом дефконе пара ребят с Филиппин наконец-то заняли 1-ое место в соревновании, однако это у них заняло 4 года – 4 дефкона, чтобы доказать что они реальные хакеры.

Советы:

Напоследок хотел бы поделиться советами и тем, что я бы сделал по-другому или как бы я готовился на следующий дефкон.

Готовьтесь заранее, ни на что не рассчитывайте, будьте наглыми и проворными! Ох, я хочу ещё раз это повторить – готовьтесь заранее и желательно определитесь, как вы хотите провести время. Резервируйте отель и билеты на самолет заранее. Сделайте несколько запасных вариантов – не факт, что вы попадете на лекцию, мастерскую или ещё куда, а решать на ходу не самое лучше время провождения. Возьмите с собой портфель и запаситесь провизией. Не забывайте, что лекции с дефокона публикуются на youtube-е, а, значит, ходите туда и делайте то, что с интернета слить нельзя. Слушайте громил и приносите им пончики, кофе и другое добро. Принимайте душ раз в день и используйте дезодорант – лекции порой напичканы до упора, а сидеть рядом с вонючим чуваком не самое приятное занятие. Если планируете выйти из отеля, то обязательно используйте крем от солнца. Дополнительная одежда, а в частности носки – это очень хорошая идея, так как вы будете на ногах большое количество времени + это Лас-Вегас – там жарко. Поезжайте небольшой группой или хотя бы с другом – вы можете стоять в очередях по очереди и/или распределять задачи для параллельного исполнения. Будьте скептичны и осторожны, но не паранойте – не все хотят вас взломать и/или обчистить – заводите знакомства. Не привозить лаптоп с личными данными, но привозите чистый лаптоп и дополнительные батареи. Говоря о батареях, отдохните день до и после поездки, ехать усталым не прикольно. Тусуйтесь и веселитесь, скорее всего, вы ещё не скоро побываете на такой мега-хак-гик-тусовке.

Ресурсы:

social-engineer.org
defcon.org