Cosas que suceden en una DEF CON

¿Dónde van los hackers de vacaciones? En realidad no lo sabemos, un hacker no se puede representar bajo un perfil concreto. No es un ciberpunk, no es una persona incapaz de integrarse en la sociedad: demasiada ficción de Hollywood ha desvirtuado lo que es un verdadero hacker.

Un hacker es una persona inteligente capaz de ver el software como una serie de barreras que podría saltar para comprender cómo funciona, cuáles fueron los pasos que dieron los creadores o en qué fallaron. La belleza del hacking es que no puedes señalar a una clase o a una cultura urbana, cualquier persona puede serlo, es una definición intelectual. Seguramente si todos los hackers pudieran, se irían a visitar la DEF CON. 

La mayor conferencia de hacking y seguridad

Del 6 al 9 de agosto en Las Vegas se celebrará la vigésimo tercera edición de DEF CON, una de las conferencias de hacking más famosas del mundo, no solo por la calidad de sus ponentes, sino también por toda la cultura que la rodea. La edición anterior convocó a 16.000 hackers de todas las edades. 

Imagina el mejor parque temático al que hayas ido en tu vida: la DEF CON es como el paraíso del hacking durante unos días, donde las fiestas, las conferencias y una total libertad que roza las bases del ciberpunkciberpunk se reúnen en un espacio que permite a miles de personas expresarse de una forma que quizá en otras condiciones no podrían.

DEF CON es la mayor conferencia de seguridad y hacking del mundo, por encima de Black Hat que también se celebra en Las Vegas justo antes de DEF CON; o de la europea Chaos Communication Congress (C3) celebrada en Hamburgo. Quizá una de las más valiosas para la comunidad por sus numerosas charlas. Muchas de las intervenciones logran llegar a medios de todo el mundo porque se demuestran al público grandes vulnerabilidades en sistemas conocidos, tanto de software como de hardware.

Charlas y mucho más

Durante los años que se lleva celebrando ha dado tantos grandes temas que es imposible listarlos, algunos muy épicos como el qué pasa cuando le robas el portátil a un hacker donde el autor mostró paso a paso cómo un portátil robado puede recuperarse -o por lo menos saber quién lo tiene- gracias a que configuró una forma de conectarse a su equipo una vez estuviese conectado. Otra una de las charlas más importantes de los últimos años con la llegada de los vehículos sin conductor donde se mostró que es posible hackearlos.

Uno de los hackers más famosos por su experiencia con grandes empresas y exposición en medios de España, Chema Alonso, fue panelista en DEF CON 19 (2011) donde explicó grandes vulnerabilidades de Microsoft Excel en sistemas seguros, o en DEF CON 21 (2013) donde demostró un método para atacar redes mediante el protocolo IPv6.

No es el único español en la conferencia aunque si el que mantiene el récord de charlas, entre otros muchos, han estado Palako, Fermín J. Serna, Segofensiva. También grupos españoles como Sexy Pandas, Int3pids o PainSEC han competido en uno de los juegos más famosos, “Capture The Flag”. Se trata de una competición en el que grupos intentan atacar y defender ordenadores y redes usando ciertas aplicaciones y ataques a otros grupos.

Durante el DEFCON 22 del año pasado se habló mucho sobre los mitos de que una persona pueda hackear un avión simplemente conectándose a una red inalámbrica o incluso a una red alámbrica, y por temas como este, trabajadores y autoridades de cuerpos de seguridad de todo el mundo se mezclan entre los asistentes en busca de más información que pueda servirles para su trabajo, normalmente de vigilancia, pero también para conocer de primera mano las vulnerabilidades que se van conociendo.

Las empresas de seguridad también están presentes y no en un modo defensivo, ya que esta conferencia les permite aprender más de cómo se logra vulnerar un sistema. Alonso lo define como una mejora para todos, desde los hackers a las empresa o cuerpos de seguridad: “Al hacerse públicas las vulnerabilidades, es bueno para la seguridad de todos, ya que una vulnerabilidad conocida es una vulnerabilidad corregida, lo que hace que se mejore siempre la seguridad”.

Más allá de las conferencias y de las fiestas, se organizan pequeños cursos, concursos y “villas” que consisten en espacios dedicados a un tema. Por ejemplo en esta edición de 2015 existe un espacio dedicado al hacking de dispositivos del “Internet de las cosas”, todos estos productos que ahora están conectados a Internet como pulseras de actividad física, termostatos, bombillas, electrodomésticos o toda una serie de productos que de pronto se conectan a Internet.

“Mis actividades favoritas son el 'Spot The Fed' para localizar a los policías y cuerpos de seguridad del estado y el 'Wall of Sheep', para ver quién ha sido hackeado”, comenta Chema Alonso a eldiario.es. 

Y no todo es acerca de cómo acceder a equipos conectados a Internet, también hay villas y cursos de demostración de unos de los sistemas de hacking más antiguos, el de abrir cerraduras con ganzúas.

Badges hackeables

Foto: Eliot Phillips (CC)Eliot Phillips

Algo tan integrado como la cultura de las conferencias y quizá más reconocible dentro de DEF CON son los badges, las identificaciones que normalmente suelen dar en congresos y conferencias para mostrar tu identidad, solo que en DEF CON son muy diferentes de aquellos trozos de plástico.

Los badges de DEF CON son una placa que tiene circuitos y chips, además de un puerto para poder conectarlo a un PC y jugar con ella a puzzles criptográficos.

Son obras de Ryan Clarke, quien los diseña y programa para que los visitantes a la conferencia tengan un aliciente más, ya que estos badges pueden ser hackeados y modificados. La importancia del badge de DEF CON ha ido creciendo con los años, y se ha convertido en una de las principales atracciones del evento para muchos hackers y crackers. A la modificación más original se le premia con una entrada prioritaria de por vida a la conferencia.

Este año todo el mundo hablará de ProxyHam

Foto: Wired (CC)Wired

Si hay algo que gusta en una conferencia como esta es que exista controversia. Aunque todos los años en DEF CON hay una charla que destaca sobre otras por su importancia, normalmente descubriendo vulnerabilidades en servicios conocidos, este año la polémica está en la cancelación de ProxyHam.

ProxyHam es literalmente un proxy que pone distancia entre tu conexión y tu posición geográfica. Es decir, un aparato que te permite conectarte a una red móvil pero no donde tú te encuentras físicamente, sino que te conecta a una milla de distancia (1.6 kilómetros). Este aparato permitiría que una persona pueda conectarse anónimamente, pero aunque se le descubra la dirección IP y su posición geográfica, la conexión física se mostrará a una distancia lejos de donde se está conectando de verdad.

El pasado 10 de julio sus desarrolladores publicaron que el proyecto desaparecía completamente, dejando algunos tuits en el camino que no dan muchas explicaciones.

(Con efecto inmediato, detenemos todo desarrollo en #proxyham y no lanzaremos más detalles o fuentes del dispositivo)

(Las unidades existentes de #proxyham serán destruidas y no estarán disponibles en @_defcon_)

(También cancelaremos la charla de @caudillbenjamin en @_defcon_ sobre #proxyham y #whistleblower #anonymity)

Este proyecto podría permitir a una persona conectarse a Internet mediante un VPN (red privada virtual) o usando Tor y que aunque todo falle, su localización geográfica sea inexacta.

Hay muchas teorías sobre su cancelación, más cuando anunciaron que todos los ProxyHam serían destruidos. La teoría más común encontrada en foros o redes sociales es que el Gobierno de Estados Unidos ha pedido al equipo que no publique nada sobre este proyecto. Pero aún no existe una declaración formal de por qué se ha destruido el proyecto y de por qué se ha parado todo su desarrollo.

Si hay algo que no falta en internet es interés en este tipo de dramas. El blog especializado en hacks y software Hack a Day publicó un artículo de cómo se podría fabricar uno de estos aparatos.

DEF CON, el documental

Que una de las conferencias de seguridad y hacking más importante del mundo empezase en 1992 como una fiesta entre crackers dice bastante de su evolución y nos da una idea de cuál es el espíritu de DEF CON, por lo menos para hackers: aprender, experimentar y divertirse.

Jeff Moss fundó DEF CON en 1993 como una fiesta de despedida en Las Vegas a un conocido que finalmente partió antes de tiempo. Con todo reservado y listo, Moss decidió que sería una buena idea hacerla de todas maneras e invitar a todos sus amigos expertos en seguridad para tener una gran fiesta en la capital del entretenimiento para adultos.

La evolución de esta conferencia se puede comprobar en el documental DEFCON dirigido por Jason Scott y estrenada en 2013. En este documental -que se puede ver gratuitamente en YouTube o descargar en diferentes calidades mediante BitTorrent- se cuenta la historia de sus inicios, su evolución y en lo que se ha convertido, así como la cultura alrededor de DEF CON para muchas personas, que lo toman literalmente como unos días de total liberación personal.

Foto: Nate Grigg