I år reste tre medlemmar av Netsecuritys Red Team till Las Vegas för att delta i det berömda Hacker Summer Camp. Anders, Tor-Erik och John var de lyckliga utvalda. Tor-Erik och John anlände först för att delta i BSides, där John höll sitt första föredrag i USA, på PasswordCon-spåret, om sårbarheter i fysiska åtkomstkontroller. Tor-Erik var där som stöd. Anders följde efter och tillsammans deltog de i Defcon.
BSides är en mindre konferens jämfört med Defcon, med cirka 3 000 deltagare och en kompakt och tillgänglig lokal på Tuscany Suites & Casino. Det här är en konferens i världsklass som ofta förbises av många. I år var det dock förvånansvärt många norrmän på plats, vilket kan tyda på att konferensen börjar bli mer erkänd.
Defcon är en konferens i en klass för sig, med en atmosfär och miljö som är unik. Årets deltagarantal sägs ha nått upp till 50.000 personer, även om officiella siffror inte har bekräftats. Defcon är känt för sin mångfald, där alla oavsett ålder och identitet är välkomna och där ingen döms.
I år hölls Defcon för första gången på Las Vegas Convention Centre (LVCC). Det var också första gången på flera år som hela Defcon var samlat under ett och samma tak. LVCC är cirka 85 gånger större än Oslo Spektrum, vilket gjorde det betydligt enklare att navigera mellan föreläsningar, byar, workshops och utställarområden.
En av de mest värdefulla aspekterna av Defcon är att "alla" är där. Det är en mötesplats för gamla bekanta, nya bekanta och några av de mest kända personerna inom cybersäkerhet. Vi hade nöjet att träffa John Hammond på Red Team Villages fest och Jack Rhysider på hans Darknet Diaries-fest, där det krävdes utklädning. Några av oss besökte Red Team Alliance i Las Vegas, medan andra deltog i en sammankomst som anordnades av Microsoft Security Response Center (MSRC), där vi knöt nya kontakter. Vi fick också en skymt av Ed Skoudis, en viktig person bakom många av våra fritidsaktiviteter i december, även om vi tyvärr inte fick tillfälle att prata med honom.
I sådana här sammanhang blir konkurrenterna mer än bara konkurrenter, de blir vänner och likasinnade som man kan ha informella diskussioner med. Detta är en ovärderlig erfarenhet som stärker relationerna inom både det norska och det internationella säkerhetssamfundet.
John arbetade också som volontär i Red Team Village, en av de mest populära delarna av Defcon. Detta gav honom en unik möjlighet att lära känna samhället bättre och att ge något tillbaka. När man väl har fått in en fot i dörren öppnas fler möjligheter vid framtida evenemang, både att hjälpa till och att hjälpa till att vidareutveckla Red Team Village.
För Anders och Tor-Erik, som var på Defcon för första gången, var konferensen överväldigande. Med ett enormt utbud av byar, föredrag, montrar och utställarområden kände de sig som barn i en godisbutik. Villages är samlingsplatser för olika grenar av säkerhet, och här fanns allt från hårdvaruhacking till biohacking, AI, webbsäkerhet, offensiv och defensiv säkerhet och bug bounty. Mellan presentationerna vandrade vi runt i byarna, pratade med folk och sög åt oss inspiration. Försäljningsområdet på Defcon är ett unikt shoppingområde, särskilt för dem som arbetar med offensiv säkerhet, med allt från dirkar och radioutrustning till keyloggers och intressanta böcker från No Starch Press.
När det gäller föreläsningar finns det få ställen där man kan hitta så mycket intressant som på BSides och framför allt Defcon.
På BSides deltog vi i föreläsningar om ämnen som användning av ePaper som ett falskt ID-kort, utmaningar med nationella tecken som æ, ø och å i IT-system och ett nytt verktyg för kommunikation med serieportar för enklare hackning av hårdvara. Vi fick också lära oss mer om hur man utnyttjar rättigheter och regeluppsättningar i molntjänster för pentesting och om kostnadseffektiv automatisering av molntjänster.
Defcon bjöd på ett stort utbud av föredrag, bland annat om sårbarheter i IT- och OT-system som används inom jordbruket, innovativa attacker mot RFID-baserade system för åtkomstkontroll, kringgående av fysiska säkerhetsmekanismer, risker med att påverka inlärningsmodeller i LLM och alternativa sätt att få tag på NTLM-hashar. En annan höjdpunkt var Gareth Heyes från PortSwiggers presentation om parsning av e-postadresser, där han visade hur standarder och olika biblioteks implementeringar kan utnyttjas för att kringgå åtkomstkontroll baserad på e-postdomäner.
Ett annat föredrag, "Securing the Harvest: Cyber Defence for Agricultural Control Systems", belyste ett ofta förbisett område inom kritisk infrastruktur. Ray Baeza förklarade hur jordbruket, som är avgörande för livsmedelsproduktionen och ekonomin, ofta har begränsade resurser för IT-säkerhet. Han beskrev hur sårbara system, som lokala bensinstationer, är kritiska under skördesäsongen, särskilt för att säkerställa tillgången på bränsle till traktorer och skördetröskor.
Trots att många av föredragen finns tillgängliga på konferensernas YouTube-kanaler är det många mindre föredrag i de olika byarna som inte filmas. Det enda sättet att få med sig dessa är att vara på plats på konferenserna.
Hacker Summer Camp, med BSides LV och Defcon, visar sig återigen vara den ultimata mötesplatsen för alla som arbetar med säkerhet, särskilt offensiv säkerhet.
Vi ser nu fram emot augusti nästa år och hoppas att vi får möjlighet att återigen delta i världens viktigaste mötesplats för penetrationstestare, incidenthanterare, utvecklare och andra som arbetar med säkerhet, både tekniskt och organisatoriskt.
Vi tackar Netsecurity för möjligheten att delta i årets konferenser och hoppas på att få återkomma nästa år, där vi alla ser möjligheter att bidra på olika sätt.
Vi kommer tillbaka!
Anders Rosdahl, Tor-Erik Thorjussenoch John-André Bjørkhaug