Ook dit jaar was het weer raak: Jira ICT vertrok eind augustus naar Las Vegas (USA) om daar het jaarlijkse hacker-evenement DEFCON bij te wonen. Tijdens DEFCON komen duizenden hackers samen om technische kennis te delen. Dit gebeurt via presentaties, live-demonstraties maar natuurlijk ook achterkamertjes. DEFCON is een must voor iedereen die up-to-date wil blijven over de ontwikkelingen op het gebied van security.
Hilariteit in techniek
De term "hacker" wordt vaak verkeerd begrepen. Een echte hacker is iemand die van technische uitdagingen houdt, maar niet perse kwaad in de zin heeft. Wanneer iemand graag uitvogelt hoe computers gekraakt kunnen worden, dan spreek je over een hacker. Als iemand die kennis daadwerkelijk toepast om een computer (illegaal) te kraken, dan is de juiste term "cracker".
Hackers zijn leuke mensen met vaak een goed gevoel voor humor. Deze humor komt dan ook bij DEFCON regelmatig terug. In een presentatie over het hacken van de iPhone is bijvoorbeeld de grootste hack niet het installeren van allerlei hacker-tools op de iPhone, maar juist het gebruik van afplakplastic ("ducktape") om een iPhone tot het ideale afluisterapparaat te maken.
Ook hilarisch was de universitaire professor die al zijn lessen op de schop gooide door het OSI-model alleen door middel van DDOS (Distributed Denial-of-Access) aanvallen te illustreren. De applicatie-laag bracht interessante onderwerpen met zich mee (zoals de supergevaarlijke Slowloris). Maar hoe beschrijf je een DDOS-aanval op de fysieke laag? Simpel: Cut the cable.
En wat te denken van een XSS-exploit die de browser van een aangevallen persoon omvormt tot een anonieme proxy, waardoor de hacker van PC tot PC kan hacken zonder ooit ontdekt te worden. Of het verbergen van evil-code door gebruik te maken van bewuste fouten in de code en zogenaamde compiler jumbs. Des te hoger het technische gehalte, des te hoger de hilariteit. Ook al was het soms moeilijk om de echte hackers qua kennis bij te benen, interessant en grappig was het zeker.
SSL is onveilig
Tijdens DEFCON werd iedereen er keer op keer van doordrongen dat het huidige Internet zo lek is als een mandje. Terwijl vorig jaar Dan Kaminsky nog aan toonde dat DNS een paar fundamentele zwakheden bevatte, was nu voornamelijk SSL aan de beurt. In diverse presentaties werd aangetoond dat SSL-certificaten eenvoudig na te maken zijn. Zelfs EV-SSL certificaten zijn niet veilig te noemen.
Vanwege deze fouten in SSL worden ook steeds meer andere gecombineerde aanvallen mogelijk. Terwijl XSS- en CSRF-aanvallen vaak nog werd tegengehouden door de browser-beveiliging (bijvoorbeeld browser-waarschuwingen wanneer HTTP en HTTPS-content met elkaar wordt gecombineerd), is dit met het recente nieuws over de SSL-zwakheden een stuk onveiliger geworden.
Helemaal bizar was het feit dat een hacker een root-level authority-server (IANA) vond die gebruik maakte van een MD2-encryptie (welke al 15 jaar lang als uiterst onveilig te boek staat). Zelfs de basis van het hele Internet blijkt niet veilig.
Johnny "I hack stuff"
Een bekend gezicht bij DEFCON is Johny Long - ook wel bekend als Johnny "I hack stuff". Deze hacker-van-de-eerste-dag gaf bij eerdere DEFCONs vaak presentaties en is ook erg bekend geworden als oprichter van de online Google Hacking Database.
Zijn presentatie nam echter een onverwachte wending: In plaats van technische aangelegenheid, ging zijn presentatie over het feit dat hij al jaren niet echt gelukkig was, en nu sinds enige tijd met zijn gezin in Uganda woonde en daar vrijwilligerswerk deed. Zijn belangrijkste boodschap was dat iedereen iets goeds moest doen in zijn level - dat is de ware zin in het leven. En hij had zijn missie in ieder geval gevonden (I hack charities).
Het toonde zeker aan dat hackers toch ook wel mensen zijn.
