setembro 09, 2011

[Segurança] Defcon 19

Há pouco tempo atrás eu gravei um videocast bem legal com o Gustavo Lima, do blog Coruja de TI, sobre a edição deste ano da Defcon.



A Defcon é a maior conferência hacker do mundo, que acontece anualmente em Las Vegas, geralmente entre o final de Julho e início de Agosto.

Neste ano tivemos a 19a edição nos dias 04 a 07 de Agosto (na verdade, as palestras foram dias 5, 6 e 7/08), com cerca de 10 mil presentes. Sim, 10 mil pessoas. E aí já começa uma das características que eu mais gosto na Defcon: a grande diversidade de pessoas. O evento é um grande zoológico nerd. Muitas pessoas legais, muitas pessoas esquisitas, e gente de toda a idade. Ao contrário do que vemos no Brasil, lá na Defcon tem desde crianças (este ano teve até o Defcon for Kids) até gente de mais idade, magros e carecas, gordos e magros, homens, mulheres e gente que não dá para saber o que é :)

Neste ano a Defcon ocorreu pela primeira vez no hotel e Cassino Rio, após o Riviera ter hospedado o evento por vários anos. O Rio é bem maior do que o Riviera, é gigante, mas mesmo assim o espaço não era suficiente: haviam muitas filas e salas lotadas. No dia 04 já existiam filas quilométricas para comprar o ingresso a conferência, que custa US$ 150 e deve ser pago em dinheiro. Tenho colegas que ficaram mais de duas horas na fila para pegar o crachá.

Eu gosto muito da Defcon pela conferência em si: são 5 trilhas de palestra simultâneas, o dia inteiro, sem pausa para coffee-break nem para almoço. Se você quiser comer algo ou ir no banheiro, tem que fazer isso entre uma palestra e outra ou tem que escolher um horário que não tenha algo que te interesse. Obviamente, como acontece em qualquer lugar, há palestras muito boas (em geral, concorridíssimas) e palestras horríveis. E, claro, muitas vezes você só descobre que a palestra é ruim tarde demais. O que eu considero mais legal nas palestras é que muitas delas falam sobre temas muito recentes, sobre as mais recentes pesquisas em um determinado assunto. Assim, dá para apreender muita coisa e, o que me deixa maravilhado, dá para ver assuntos que só vão virar realidade daqui a um ou dois anos. Por exemplo, neste ano aconteceram várias palestras de pesquisadores de segurança estudando sobre segurança de dispositivos em hardware, o que pode ser uma nova tendência, como o Charlie Miller contando como descobriu que as baterias dos MacBooks tem um software embarcado que pode, eventualmente, ser vulnerável, e outros pesquisadores falando sobre como hackear equipamentos médicos e carros. Algumas palestras também abordaram Cloud Computing e sistemas SCADA, que são dois tópicos da moda.

Ah, os slides de várias palestras já estão disponíveis no site da Defcon.

Além das palestras, a Defcon tem dezenas de atividades em paralelo, que valem a pena serem visitadas, incluindo a tradicional competição de Capture the Flag, e uma área de lojinhas bem legal, com várias empresas vendendo camisetas, adesivos, bugigangas, livros, computadores usados, kits de lockpicking e de kits de wireless, etc. Também tem a Lockpicking Village, a Wireless Village e a Hardware Hacking Village, ou seja, salas dedicadas para atividades (palestras e oficinas) sobre estes assuntos.

Neste ano também tivemos a segunda edição da HackCup, uma competição de futebol com 14 times de vários países. É bem divertido, e nos dois anos tivemos um time brasileiro, o BRA Team. Eu fui o técnico do time (afinal, não sei jogar bola e, quando você não sabe algo, o melhor é virar chefe mesmo), e contamos com vários colegas que suaram a camisa: o Clebeer Brandao, o Pedro Drimel, Ricardo Makino, Pedro Matheus (excelente goleiro), o Joaquim Espinhara, Andre Landim e o Marcelo Camara - além do Jorge, que conhecemos lá. No ano passado nós perdemos dois jogos e ganhamos apenas um, por WO, mas neste ano o nosso time fez bonito: ganhamos os dois primeiros jogos (por 7x2 e por 10x1) e perdemos o terceiro jogo nos pênaltis, pois nosso time estava desfalcado, com dois jogadores machucados. Eu fui um deles, pois torci o pé no primeiro jogo. Por conta disso, perdi o primeiro dia inteiro da Defcon (de manhã estava na HackCup e passei a tarde no hospital) e nos dias anteriores fiquei me arrastando de um lado para outro, e por conta disso perdi algumas palestras pois não conseguia chegar nas salas a tempo :(

Ah, segundo o Pedro Drimel, nossa derrota nas quartas de final foi porque faltou jogador, o pessoal cansou.Segundo ele, o jogo BRA x Immunity acabou o primeiro tempo com 4 a 0 pra nós, mas eles empataram em 4 a 4 no segundo tempo e ganharam nos pênaltis. O Espinhara foi o único que fez gol de pênalti.

Eu sou fã da Defcon pelo que eu considero ser o conjunto da obra: ótimas palestras, muita gente, muitas atividades em paralelo, várias festas, Las Vegas em si (cassinos, shows, baladas) e, principalmente, porque a cada ano vão mais e mais brasileiros, e nos divertimos muito por lá. Não conseguimos nem contar direito quantos foram, pois sempre acabamos encontrando com um pessoal novo lá mesmo. Eu chuto que neste ano devia ter uns 40 brasileiros ou mais (ok, é pouco se comparado com os 10 mil presentes, mas ainda assim eu considero bastante).

Seguem algumas dicas:
  • Antes de mais nada, ir na Defcon é totalmente acessível: o preço dos hotéis é barato (dá para pagar em média US$30 por dia em hotel bom, em quarto espaçoso para 2 pessoas), dá para pagar barato (menos de US$ 800) se comprar passagem com antecedência, e o ingresso da conferência custa apenas US$ 150;
  • Faça sua inscrição e pegue o seu crachá o mais cedo possível. Eles fazem menos crachás do que a quantidade de pessoas, então quem fica por último pega um crachá de papelão;
  • A conferência é pauleira: muitas palestras e muitas atividades simultâneas que vão até tarde, initerruptamente. Beba bastante água e compre comida, para se alimentar bem.
  • Leve dinheiro. A inscrição só pode ser feita em dinheiro, ídem para comida. Além do mais, há a área de vendas, aonde todos acabam gastando bastante dinheiro com bugigangas, camisetas e lembranças. E você não vai querer usar o seu cartão na maior conferência hacker do mundo, né?
  • Evite ao máximo usar a rede wireless da Defcon. Se possível, não leve computador nem use os caixas eletrônicos. Se você for teimoso e insistir em usar a rede wireless do evento, encripte tudo. Desde 2010, até mesmo a rede de celular pode ser comprometida durante o evento. Evite se expor desnecessariamente.
  • Las Vegas é deserto, ou seja, é calor. O pessoal usa roupa bem descontraída, por isso tudo bem de ir de bermuda e camiseta na conferência. Mas as melhores baladas exigem dress code: calça comprida, camisa social ou polo e sapato (ou tênis preto);
  • Vale a pena ficar de olho nas festas durante o evento: as empresas promovem várias festas nas melhores baladas, com bebida grátis :)
  • Há vários passeios legais para se fazer em Las Vegas, para todos os gostos. Tente chegar alguns dias antes para se divertir.


Para quem quiser saber mais:
  • O Willian Caprino escreveu em 2009 um texto interessante, chamado Defcon para leigos.
  • Em 2010 nós fizemos uma palestra sobre a Defcon no ISSA Day, abaixo.




Adicionado em 13/09: Esqueci de comentar sobre o slideshow "10 scariest hacks from Black Hat and Defcon" do site CSO, bem legal, que mostra as 10 palestras mais "assustadoras" da Black Hat e da Defcon. Note que, destas dez palestras selecionadas pelo site, duas são relacionadas a sistemas industriais (SCADA) (aqui e aqui) e três são relacionadas a ataques a sistemas embarcados em algum tipo de hardware (carros, bomba de insulina e até mesmo impressoras).

Um comentário:

AL. disse...

Acho curioso a observação do Charles Miller, na realidade há "sistemas embarcados" em componentes quem muita gente menos espera, hoje em dia é normal um equipamento eletrônico possuir várias redes internas em seu circuito e haver processamentos digitais que muitos analistas de segurança sequer imagina...

Parabéns pelo post!

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.