Black Hat 2016 - Las Vegas

BlackHat 2016 iz ugla jednog programera

Las Vegas, ili samo Vegas, grad u sred Mojave pustinje u državi Nevada. Pre svega poznat po kockanju, zabavi i noćnom životu, a ja bih dodao i ogromnoj vrućini za nas nenaviknute.

Svake godine u drugoj polovini jula u Vegasu se održava i Black Hat, verovatno najveća a sigurno najpoznatija konferencija posvećena bezbednosti u IT-iju. Konferencija je pre svega korporativnog karaktera, a kako je odmah nakon nje Def Con, i kako posetioci uglavnom tipiju da posete obe konferencije, zaista možete sresti svakakav profil ljudi.

Počevši od klinaca koji misle da su hakeri (neki sigurno i jesu), preko izvršnih direktora velikih kompanija koji su direktno ili indirektno vezani za IT security, vodećih IT profesionalaca u branši pa na kraju i do pravih hakera.

Ameri kažu “What happens in Vegas stays in Vegas”, ali ja se neću držati toga pa ću preneti svoja iskustva sa Black Hat-a.

Iz Beograda do Vegasa se stiže presedanjem na nekom od velikih evropskih aerodroma (Pariz, London, Amsterdam…). Ja sam išao preko Londona i British Airways-a. Put je zaista dug i naporan. Beograd – London je relativno kratak let (2h i 30 min). Popodne iz Londona letite starim ali legendarnim Boingom 747. Let traje 10-tak sati, sve vreme po danu (a poleteli ste oko 17h). Sletite predveče (po lokalnom vremenu) u Vegas. Kao posledica tolikog putovanja po danu, džet leg vam ne gine. Meni je trebalo dobrih četiri dana da se priviknem na vremensku razliku.

I ove godine (2016-te), isto kao i predhodnih, konferencija je održana u hotelu Mandalay Bay. Hotel je naravno na stripu i gledano od strane aerodroma prvi u nizu.

Hotel je ogroman, sa velikim kazinom u prizemlju i rekao bih još većim konferencijskim delom na nekoliko spratova. Ono što je interesantno je da sve sobe (osim na 7-tom spratu) imaju prozore od poda do plafona. Pogled sa viših spratova ume da bude zaista spektakularan. Sa druge strane, ne postoje klasični prozori (koji na primer možete da otvorite) tako da do svežeg vazduha nije moguće doći.

U okviru hotela postoji i deo koji se zove beach . Tu se nalazi nekoliko bazena od kojih je jedan sa veštačkim talasima. Iako svaki hotel ima bazene, ovi su među većim u Vegasu. Ono što je još interesantno je da površina oko bazena popunjena sitnim peskom te je zaista utisak kao da ste na pravoj plaži. Da dodam i da je ulazak na bazene besplatan za goste hotela, ali se suncobran plaća.

Treba pomenuti da u okviru hotela postoji i Shark Reef akvarijum . Deo sa nekoliko velikih akvarijuma (da ih tako nazovem iako su ogromni za klasičan pojam akvarijuma) ali i manjim bazenčićima u kojima se nalaze između ostalog i meduze i raže. U tim nazovi akvarijumima se nalaze razne ribe, ali je najveći naravno i najspektakularniji. U njemu su ajkule, neke zaista velike. Svakako ga ne treba preskočiti (ulaz  20 usd, što je u rangu cene jednog hamburgera, pomfrita i pepsija).

Sama konferencija se sastoji iz dva dela. Predavanja (briefings) i treninga.

Prvi deo (prvih 4 dana) konferencije su treninizi. Treninge organizuju razni Info Sec profesionalci i kompanije. Na treninge uglavnom kompanije šalju svoje zaposlene mada ima i onih koji sami sebi plate trening ali su takvi u ozbiljnoj manjini.

Cene treninga se kreću od 2500 USD pa i do preko 5000 USD, u zavisnosti od trenutka prijave, trajanja ali i od interesovanja (neki treninzi se rasprodaju bukvalno za par dana od objavljivanja).

Svi treninzi počinju u 09h a završavaju se u 18h uz nekoliko kraćih i jednu dužu pauzu za ručak.

Treninzi su zasta dosta različiti i ima za svakog po nešto. Naravno svi vezani za bezbednost.

Ja sam ove godine bio na Advanced Web Attacks and Exploitation treningu koji drži kompanija za koju radim.

Trening traje četiri dana, zaista je intenzivan i brzo se prolazi kroz tematiku. Potrebno je solidno predzanje da bi uopšte moglo da se prati. Dobijete USB sa virtuelnim mašinama, štampanu literaturu i kreće. Četiri dana pakla.

Pokazaće vam kako je moguće da od minornog XSS-a dođete do root shell-a. Ili kako eksploatisati MySql injection i kako preko njega doći do root shell-a. Neki od primera su na softveru koji prodaju renomirane kompanije za ozbiljan novac. Neke od tih kompanija se bave baš bezbednosču.

Trening se završava u 18h ali, ako ste zainteresovani, to nije kraj. Dobijete i domaći 🙂 Naravno, niko vas ne tera. Sve je na vama. Ako želite i ako ste zainteresovani možete naučiti mnogo toga. Zaista mnogo. Oni koji su se najviše zalagali i pokazali veštinu, dobili su challenge coin kao malu nagradu za svoj trud.

Inače, AWAE je godinama prvi trening koji se rasproda. Bukvalno u prvih par dana se rezervišu sva mesta. Moje utisak je zaista fantastičan. Kao programer, prvi put sam bio sa druge strane. Zasta neprocenjivo.

Posle četiri, meni zaista naporna dana, treninzi su završeni i na red dolaze brifinzi. Tu je zaista moglo da se vidi i čuje svašta nešto i da se slušaju neke od najvećih faca u branši. Ipak, ove godine nije bilo događaja kao kada je Barnaby Jack hakovao bankomat.

Ja lično sam protrčao kroz nekoliko brifinga i prosto mi nisu zadržali pažnju te sam završio na Kali Linux Lab-u gde je Offensive Security nudio posetiocima da se okušaju u hakovanju mreže koju su pripremili. Za najuspešnije su bile i spremene vredne nagrade (laptop, tableti i mobilni telefoni koji podržavaju NetHunter, mrežni adapteri pogodni za WIFI igrarije).

I u dalekom Vegasu možete sresti ljude koji vode poreklo sa balkana, i na konferenciji i van nje. Upoznao sam lika iz Bosne koji je bio na Kali Linux lab-u. Još jednog koji je bio na PWK treningu. Šetajući oko čuvene fontane kod hotela Bellagio sreo sam porodicu iz Beograda kako juri da uhvati pravi trenutak za slikanje.

Ipak, najinteresantnije iskustvo po tom pitanju je bilo u toku jedne vožnje taksijem. Veče pred polazak nazad ulazim u taksi da se vratim u hotel. U njemu žena u 50-tim godinama, azijatkinja (kasnije saznajem iz Južne Koreje). Počinje klasična priča za vožnju taksijem, i kada sam na njeno pitanje “odakle sam” odgovorio “iz Srbije”, uze telefon i poziva nekog. Kaže “evo upravo vozim jednog tvog” i daje mi telefon. Ja zbunjen, uzimam telefon, i sa druge strane čovek počinje priču na srpskom. Ispostavlja se da joj je to dečko, Beogradjanin, da živi 8 god u Vegasu. Ispričao sam se sa čovekom kao da se znamo 100 godina. Ostavi mi broj telefona, da se javim ako mi bilo šta treba, a ako imam vremena da odemo i na piće. Nažalost, nije bilo vremena za piće jer sam sutra išao nazad, i žao mi je što ga nisam upoznao lično.

Posle 10 dana konferencije i Vegasa, već sam se opasno uželeo kuće. Delio me je samo naporan put. Na sreću, nekako mi je bilo lakše kada sam se vraćao nego kad sam išao.

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *