Hackeando la Casa: Probando la Condición de Preparación de Defensa de DEFCON

Estoy caminando de un lado a otro del Strip de Las Vegas con una placa base atada a mi pecho, colgando de un cordón. Los turistas errantes y los empleados de los casinos locales me miran con ojos de loco. La mayoría de ellos no tienen idea de qué es un DEFCON o dónde iría para encontrar uno. Está bien, les devuelvo la sonrisa con picardía.

Acabo de hacer pwn en la Casa de Haxxor. Y tengo los recibos para probarlo.

Mi viaje de fin de semana a la reunión de hackers más grande del mundo comenzó en Disneylandia de todos los lugares. Ahí es donde recojo un coche de alquiler, que tiene una oferta de "compre un día, llévese tres gratis", siempre y cuando esté de vuelta a las 08:00 del lunes por la mañana. Debería poder hacerlo para entonces. Al menos, ese es el plan.

Haciendo todo lo posible, trato de encontrar algunas melodías decentes sin demasiados comentarios en la radio analógica, lo cual es difícil incluso en una gran ciudad como Los Ángeles. No es una buena idea traer su teléfono, tarjetas de crédito o computadoras portátiles a DEFCON (así que he sido advertido). He estado experimentando con un protocolo sin teléfono desde hace un tiempo. La empresa de alquiler de coches me proporciona un GPS con conexión celular para que pueda seguir el camino digital hacia la Meca de los juegos de azar.

Llegué al desierto entre Los Ángeles y Las Vegas, donde parece que solo hay bandas de mariachis y música cristiana en un buen trecho de cien millas. Apagando la radio, estoy solo con mis pensamientos y concentrado en el camino por delante. ¿Cómo será Defcon? ¿Cuántas personas estarán allí? ¿Pertenezco aquí? Es mi primera vez, solo soy un novato, y planeo colarme en la estafa, así que siento incertidumbre mezclada con anticipación y emoción.

El estacionamiento solo cuesta siete dólares en el Strip de Las Vegas, si sabe a dónde ir, otro truco de viaje que es útil tener a su disposición. “Recuerda estar de vuelta a las once”, me grita el encargado del estacionamiento, “o te vas a quedar encerrado hasta las diez de la mañana”. Le aseguro que volveré a tiempo. Un amigo local que conocí en el Burn me invitó a un círculo de tambores, así que tengo planes de dejar la tira mucho antes de eso.

Al otro lado de la calle está The Forum at Caesar's, que es la ubicación de Defcon este año. Tan pronto como abro una puerta cerca del Linq, estoy dentro del perímetro de la conferencia. Me mezclo con la multitud de hombres de veinte a cuarenta años, en su mayoría vestidos de negro con mochilas, todos con chips de computadora atados al pecho. Este debe ser el lugar.

Caminando hacia la entrada de la conferencia, todavía no tengo un plan sobre cómo entrar. Antes de idear estrategias elaboradas sin la información de la experiencia real, es mejor simplemente comenzar probando a los guardianes. Entablo una conversación con algunos asistentes de DEFCON que están hablando sobre forzar cerraduras y "seguridad física". No conozco la jerga del reino, pero sé un poco sobre el primer tema. Chatear con ellos significa que ahora estoy caminando con amigos en lugar de ir solo.

“Uhh, voy a registrarme”, le susurro al único guardia de seguridad sentado en las puertas de Defcon. “No, tienes que llevar una máscara. Aquí —dice y ni siquiera me molesta con las credenciales. En los días posteriores a la pandemia, las grandes reuniones de personas están más preocupadas por convertirse en un evento de gran propagación que por garantizar que todos paguen por participar.

Con se estrelló, comprobar.

Entro en la sala principal de Defcon y es enorme. Imagina un concierto de rock para una banda de nivel medio que está a punto de ser famosa. Hay matones por todas partes, el ejército de voluntarios de Defcon. No estoy seguro de cuán preocupados están estos camisas rojas por verificar las credenciales. Así que tomo un asiento rápido y me pongo un porro mientras un niño explica cómo Rick hizo rodar todo su distrito escolar como una broma de último año. Conoce a los héroes de la próxima generación.

Dentro de esta sala hay una mezcla interesante de los piratas informáticos más elitistas del mundo, aficionados a la codificación fanáticos y espías del gobierno. Las personas que han pirateado los bancos y los gobiernos están sentadas a mi lado en algún lugar. Las legiones de anónimos están aquí IRL. Es un tablero de mensajes de IRC de los forajidos más famosos de Internet que decidieron reunirse en persona. Aquí no hay carteles de "se busca", solo hackers con historias de guerra sobre cómo los federales los arrestaron. Y cómo hacerlo para piratear el código legal para salir de problemas si te atrapan.

Tomando prestado un programa de Defcon de un asistente cercano, obtengo la disposición del terreno. Las charlas son en su mayoría en las grandes salas. Las demostraciones prácticas y los pueblos de piratería prácticos se encuentran en las salas de reuniones. Es aquí donde me doy cuenta de que la piratería es una carpa mucho más grande de lo que pensaba anteriormente. Hay un pueblo de biohackers, un lugar para entusiastas de la radioafición e incluso un rincón dedicado a piratear (y proteger) las máquinas de votación. Encajo en al menos algunas de estas cajas. Tal vez yo pertenezco aquí, después de todo.

“Tú también puedes ser un hacker”, pienso para mis adentros.

Evitando a los matones, me dirijo a la sala de cerrajería. Tengo un regalo para Deviant Ollaf, quien ayudó a inspirar una pieza de joyería que uso todos los días. Escuché que anda por ahí. Hay un tipo dando una charla básica sobre forzar cerraduras y un puñado de personas en una mesa de cóctel tratando de forzar cerraduras. Hablo mierda sobre Master Locks y luego lucho durante demasiado tiempo para romper la cerradura, lo que finalmente descubro después de algunos consejos útiles. Nos hacemos amigos rápidamente y les muestro algunos consejos y trucos. También obtuve una idea del presentador sobre cómo mejorar mi práctica ("usar una presión más suave").

John es de DC y me pregunta sobre las pruebas de penetración. "¿Qué es eso?" Yo le pregunto. Me da una mirada sorprendida como si no perteneciera aquí, la primera que he recibido hasta ahora. Rut roh. "Pruebas de penetración. Buscando brechas en la seguridad física”, responde. "Oh, he hecho mucho de eso", le aseguro, "Simplemente no sé cómo lo llaman". Hablamos un poco sobre su práctica de consultoría y mi historia personal con el Servicio Secreto, donde soy algo infame.

Juntos, caminamos hacia una habitación grande y oscura que me recuerda a una rave de mis días de universidad. Hay gente disfrazada deambulando, luces de neón, bancos de pantallas de computadora y una máquina expendedora con una multitud de estudiantes universitarios que aprenden a piratear comida gratis. Un comediante hacker está en el escenario realizando trucos de magia y los resultados de un concurso de piratería se anuncian en otro rincón de la sala.

Aquí hay algo para todos, diversión para toda la familia.

Después de esto, nos dirigimos a la aldea de seguridad física, que es donde vive la demostración de piratería de esposas. Muestro una pieza de joyería con una llave de esposas escondida y desbloqueo un juego de esposas de mi muñeca. Un escéptico pregunta: "Sí, pero ¿cómo vas a llegar a eso cuando tienes las manos detrás de la espalda?" Dejo que me espose y luego procedo a saltar sobre la mesa y tirar de mis rodillas a través de mis manos esposadas, luego liberarme de las esposas en menos de un minuto. Luego, le muestro a John los conceptos básicos para quitar las esposas con una horquilla, y ambos practicamos calzar puertas en los numerosos marcos de puertas de ejemplo que Defcon ha colocado en las mesas.

Invito a John a fumar ese porro, pero tiene un lugar donde estar. Tengo la sensación de que está trabajando, así que nos separamos sin intercambiar información de contacto. La prima del anonimato es tan alta que los organizadores de Defcon solo aceptan efectivo y no te permiten pagar con tarjeta de crédito en el momento de la inscripción (no es que lo sepa por experiencia personal). Así que cada conexión hecha aquí se siente destinada a perderse, a menos que se encuentren al azar en la web durante una operación.

Nos vemos en la próxima estafa, John.

En mi camino afuera, escucho un intenso golpeteo de batería y bajo dentro de una habitación con un letrero que dice "Capture the Flag". Miro dentro y deambulo por la habitación, maravillándome con las pantallas llenas de código. Equipos de hackers competitivos se agarran la frente con frustración colectiva. A diferencia de las imágenes sexys representadas en las películas sobre piratería, este es el verdadero negocio. Es solo una serie interminable de letras blancas en pantallas negras. Un equipo en esta sala ganará el premio de las insignias negras, que le otorgan entrada gratuita a Defcon de por vida. Felicito al DJ, luego continúo mi camino alegre.

Afuera, enciendo una luz a un tipo que lleva una camiseta de Monero. Entablamos una conversación filosófica sobre criptografía con otro asistente aleatorio de Defcon. “Cada vez que surge una tecnología transformadora, como la imprenta o Internet, cambia la sociedad, el gobierno y el dinero. ¿Crees que todavía vamos a estar repartiendo pañuelos sucios para pagar cosas dentro de treinta años? El dinero ya es 1 y 0, ahora mismo”. Un argumento convincente. Pero todavía no puedes comprar una insignia en Defcon con un puñado de Bitcoin. Por ahora, el efectivo sigue reinando, incluso en Hackerville.

Mientras hablamos, otra persona se acerca con un código QR en un imán. Está diciendo algo sobre insignias a las otras personas en la convo, definitivamente buscando novatos. No está vestido como un matón y técnicamente estoy fuera de la conferencia, así que me imagino que estoy libre. Ni siquiera tengo un teléfono para descargar el malware que vive en ese código QR. Pero saco el GPS de la empresa de alquiler de coches, que técnicamente es un teléfono. Apunto imprudentemente su teléfono en la dirección del código QR. "¿Es suficiente?" Pregunto. “Sí, eso es suficiente”, responde un hacker cercano. “Wow, solo eso, ¿eh? La parte divertida es que ni siquiera tengo un teléfono”. Dudosos miran el teléfono en mi mano.

Ahora que estoy un poco drogado, es hora de festejar. John me contó sobre una fiesta en el Flamingo y también hay algo de caridad para Electronic Frontier Foundation , que son las personas que ayudaron a salvar Internet con Aaron Swartz. Una vez me vestí como Rick Astley en una protesta de EFF frente a una tienda de Verizon en Boston, así que me cuento entre los partidarios de la causa. Me encuentro con algunos organizadores de Defcon en el Flamingo, pero nadie me puede indicar la dirección de la fiesta EFF, así que decido volver afuera para fumar un poco más y meditar un poco.

Me despierto y un oficial de policía me pide identificación.

Debe haberse quedado dormido con el sonido de esa cascada. “¿Estoy siendo detenido o soy libre de irme?” Le pregunto al oficial. “No te van a detener”, responde, “Veamos alguna identificación o tendrás que irte”. Comienzo a reunir mis escasas posesiones y respondo que estoy listo para irme. "¿Conoces la salida?" El oficial me pregunta mientras se aleja. “Nadie sabe cómo salir de estos lugares”, digo en referencia a los interminables laberintos interiores que son los casinos. Pero él no está escuchando.

Este banco es la ubicación exacta del incidente de meditación.

Cuando llego al valet donde dejé mi auto, el lugar está vacío excepto por mi auto. ¿Cuánto tiempo estuve desmayado? Descubro que es más de la una de la madrugada. Llego demasiado tarde para conseguir mi coche de alquiler. Me perdí el círculo de tambores para arrancar. La mayoría de las fiestas anunciadas de Defcon han terminado hace mucho tiempo. Como todo mi equipo está en el auto y el valet tiene mis llaves, ni siquiera tengo una tarjeta de crédito para reservar una habitación de hotel o un auto para ir a la casa de mi amigo. Parece que voy a caminar por la franja hasta el amanecer.

Ahora que es medianoche, es el momento perfecto para adquirir las credenciales, así que vuelvo al foro. El perímetro está cerrado y el equipo de limpieza está en el lugar. Pero siempre hay una forma de entrar. Más temprano ese día, mientras salía con ese porro, abrí una puerta, lo cual es útil ahora. En los foros, los asistentes a Defcon hablan sobre Linecon, que es la fila de horas que se necesita para obtener insignias el primer día.

La línea a las 0100 el día dos es inexistente.

Como la sala está vacía y no hay nadie presente para ayudarme a registrarme, me ayudo con algunas credenciales. Elijo uno que es de color verde azulado en lugar del blanco estándar. Las insignias de diferentes colores son un símbolo de estatus en esta tierra, que lo identifican como humano, matón o orador (así como un montón de otros colores).

La insignia de Defcon es muy funcional. Es una caja de ritmos y un tablero de loops con una luz LED multicolor parpadeando en la parte superior. Recogiendo un cordón, noto paquetes de camisetas rojas de matones desatendidas. Tentador. Pero decido que probablemente sea más problemático de lo que vale, ya que Defcon ha colocado letreros sobre insignias falsas de matones en todas las paredes.

Después de unas horas de visitar los casinos temáticos al azar en el Strip de Las Vegas, que están abiertos toda la noche, vuelvo a mi auto alquilado y llamo a mi amigo local usando una conexión VOIP en el Starbucks cercano. Tomamos un brunch en The Cracked Egg, que es el tipo de lugar en el que comes si vives aquí. Le cuento la historia de la caída de Defcon y lo invito a unirse a mí para la segunda parte. Acepta la invitación y regresamos al Foro en mi coche de alquiler.

Esta vez, la seguridad nos detiene en la entrada principal. “Se supone que no deben estar aquí, caballeros. Date la vuelta y ve por el otro lado”. Es una declaración de hecho sorprendentemente cierta. ¿Cómo sabe él eso? Empujo a mi amigo para que muestre las credenciales azul verdosas que tomé prestadas mientras agito el programa DEFCON en el aire como si perteneciéramos aquí. “Oh, estás en el lugar correcto. Adelante muchachos, solo usen una máscara”, dice el guardia.

La única llamada cercana con seguridad que tuve en cuarenta y ocho horas en Defcon (además de la policía en el Flamingo).

Todo el mundo está en la gran sala viendo la ceremonia de entrega de premios de Defcon, en la que se entregan las tan buscadas insignias negras. Nos dirigimos hacia el registro, que ahora tiene un puñado de personas adentro, todos mirando sus teléfonos. Dejo caer una copia de mi presentación, " Pwn'ing the House of Haxxor: Pen Testing DEFCON 30 " sobre el teclado que se encuentra debajo de la pantalla de visualización de las cámaras de seguridad. Nadie nos nota.

Agarro a un chico que se dirige al escenario. “Acabo de subir del registro. ¿Puedes poner esto en el podio para nosotros? Con una letra descuidada, las diapositivas están marcadas como "Para una mención de honor". Firmado, Lucía.

Se dirige hacia el escenario y le entrega el mazo a un matón a la derecha del escenario. Si el tipo en el podio realmente nos dio una mención de honor, no nos quedamos para verlo. Solo nos quedamos el tiempo suficiente para asegurarnos de que las diapositivas llegaran al escenario. Eso fue suficiente para considerar el mensaje entregado.

Cuando salí de Disneyland por primera vez dos días antes, estaba en una misión autoasignada para piratear a los piratas informáticos. Mucho se habla de “OpSec” o seguridad operativa en estas tripulaciones. DEF-CON significa "condición de preparación para la defensa". Ponemos su nombre a prueba.

Pero eso es sólo la mitad de la historia.

Al final del fin de semana, hice nuevos amigos, aprendí algunos consejos y trucos y me di cuenta de que pertenecía a la multitud de piratas informáticos en Defcon más de lo que había pensado originalmente. El tema de DEFCON30 fue “Homecoming”. Para mí, fue como volver a casa.