DEF CON 32: advertencias sobre la IA, "enshittification" de internet y el videojuego tipo Pokémon del badge
La conferencia debutó en el Las Vegas Convention Center. La apertura de The Dark Tangent, la presencia de Mudge y las charlas más destacadas del día 1.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
Edición especial - Cobertura Black Hat USA 2024 y DEF CON 32 desde Las Vegas, Nevada.
10 ago
⚡ TL;DR
“La inteligencia artificial alimenta la incertidumbre laboral en el sector tecnológico mientras envenena a la gente con sinsentidos y alucinaciones”. Con esas palabras abrió Jeff Moss la edición 32 de DEF CON, que debutó en el Las Vegas Convention Center luego de que el Caesars Forum terminara el contrato de la conferencia en febrero de este año.
Tras el cierre de Black Hat, Moss hizo la transición a DEF CON con una charla que este año tuvo a la temática engage como idea rectora: en un momento de enshittification de la red, sólo queda formar comunidad.
El concepto de enshittification es súper interesante y es de un autor fundamental para enteder los tiempos político-tecnológicos que vivimos: Cory Doctorow. Para quienes no estén familiarizados con el término, pude entrevistarlo durante el año pasado y acá explica de qué se trata: tiene que ver con cómo las plataformas, pero también casi la gran mayoría de las tecnologías propietarias que usamos, comienzan siendo beneficiosas para los usuarios para luego abusar de ellos.
El tono de Moss ya venía en una tónica crítica, luego de que tuviera en Black Hat un fireside chat con Moxie Marlinspike, fundador de la app de mensajería Signal. Allí, el principal cuestionamiento a las big tech tuvo que ver con las discrepancias entre el diseño y la transparencia respecto de la privacidad de los usuarios que (no) respetan las apps.
En DEF CON, la temática engage fue un llamado a la comunidad de hackers a ser parte de una construcción crítica que funcione como un contrapeso de este modelo enshittificador. Doctorow va a dar una charla también hoy al mediodía y será sobre este concepto. Es una de las paradas obligadas de este sábado.
Por fuera de la apertura de DEF CON, hubo algunas charlas muy interesantes que más abajo destaco.
Queda un día de conferencia y, a nivel noticia, mañana voy a publicar el plato más fuerte de todos: ayer se conoció una vulnerabilidad en procesadores de AMD que existe desde al menos 20 años y no había sido detectada.
Y uno de los dos researchers que encontró esta vulnerabilidad es argentino: pude hablar con él y mañana voy a publicar los detalles de la charla.
Dark News #96
Leer este correo te va a llevar 10 minutos.
Llega a Buenos Aires la XII edición de Media Party 2024, la conferencia de innovación en medios más grande de América latina. Se trata de un encuentro global para periodistas, diseñadores, emprendedores y expertos en tecnología, generando diálogos innovadores con impacto en el ecosistema de medios. Desde el 29 al 31 de agosto de 2024
🏴☠️ “La IA alimenta la incertidumbre laboral en el sector tech mientras envenena a la gente con sinsentidos”
“La inteligencia artificial alimenta la incertidumbre laboral en el sector tecnológico mientras envenena a la gente con sinsentidos y alucinaciones”. Con esas palabras abrió Jeff Moss la edición 32 de DEF CON, una de las conferencias de hackers más grandes del mundo.
En un escrito que abre el instructivo que reciben los asistentes que están participando viernes, sábado y domingo de esta semana, Moss, fundador de DEF CON -conocido como The Dark Tangent-, explicó la temática de este año. Cada edición tiene un concepto, una idea rectora, y la de 2024 es Engage (“involucrarse” en inglés): “En tiempos de crisis, las comunidades que apoyan a sus miembros hacen mejor las cosas que las que no se involucran”, escribió Moss.
Cerca de las 10 de la mañana, el referente de la comunidad hacker hizo la apertura oficial (“Welcome to DEF CON”) en una de las salas principales del Las Vegas Convention Center, donde este año se realiza por primera vez en la historia (luego de que el Caesars Forum, donde se había hecho anteriormente, rescindiera el contrato).
“No somos una conferencia de la industria de la ciberseguridad: somos una conferencia de hackers. El proceso de revisión de los trabajos que se presentan acá siempre se hace la misma pregunta: ¿tiene este paper una perspectiva hacker?”, dijo Moss en la conferencia.
La gran diferencia entre DEF CON y otras convenciones es que más allá de los trabajos que se presentan, los protagonistas son miembros de la comunidad: no se ven carteles con grandes marcas, sino más bien asistentes e investigadores asistiendo a charlas e interactuando con las distintas estaciones donde se llevan a cabo distintos tipos de hackeos. Todo ocurre entre laptops, antenas, hardware extraño y vestimentas que parecen salidas de una Comic Con.
En concordancia con la idea de involucrarse, Moss planteó: “Por eso hay conferencistas como el General Paul M. Nakasone, exdirector NSA, para que escuchen a personas con las que habitualmente no tendrían contacto. Por suerte somos lo suficientemente grandes como conferencia como para que quieran venir y conocernos”.
DEF CON tiene una asistencia masiva: el año pasado asistieron 24 mil personas e incluso hubo un reclamo por un lugar más grande. En febrero de este año, Dark Tangent publicó un posteo en el foro de DEF CON contando que la conferencia se mudaría en su edición 32 al Las Vegas Convention Center.
El nuevo lugar constituye uno de los centros de convenciones más grandes del mundo, con cerca de 230 mil metros cuadrados, y es famoso por alojar en enero al CES (Consumer Electronics Show) la exposición de tecnología de consumo más concurrida del mundo tech.
No fue, sin embargo, un recibimiento amable el que tuvieron algunos hackers: la cadena hotelera Resorts World Las Vegas advirtió que, durante el tiempo que durara DEF CON, iba a hacer inspecciones de los cuartos. Esto cayó bastante mal entre varios asistentes.
El contexto de esta decisión del hotel tiene que ver con un ciberataque de ransomware que sufrieron dos gigantes de la hotelería mundial en septiembre del año pasado: MGM Resorts International y Caesars Entertainment, víctimas de un robo de 6 TB de información por un ataque de ingeniería social.
Además, el centro de convenciones tiene una política estricta que no permite pegar stickers, algo que es una parte casi fundacional de la comunidad de DEF CON. Por esto, se creó una “pared de stickers”, entre la que se encontraron mensajes de protesta.
Las charlas principales del primer día
El primer día de DEF CON es una suerte de precalentamiento de la convención. Si bien los platos fuertes aparecen, históricamente, el segundo día, luego de la charla inicial de Jeff Moss hubo una conversación (formato conocido como “fireside chat”) entre Stefanie Tompkins, directora de DARPA (Defense Advanced Research Projects Agency), entidad de investigación y desarrollo de internet de los Estados Unidos, y Peiter Zatko, conocido como “Mudge”, un hacker histórico de los EE.UU. que actualmente también ocupa un puesto en la entidad.
“El panorama actual de los ciberataques no tiene tanto que ver con que los atacantes se volvieron más inteligentes, sino con que estamos escribiendo software con el mismo tipo de vulnerabilidades de siempre”, disparó Mudge durante la charla.
En otros “tracks”, Harriet Farlow, hacker y CEO de Mileva Security Labs, presentó una charla focalizada en cómo hackear el casino de Canberra, capital australiana, con inteligencia artificial. La investigadora mostró cómo bypassear los sistemas de IA que utiliza el casino (como el reconocimiento facial) para evidenciar las posibles vulnerabilidades. La IA fue un tópico caliente: otra charla, a cargo del researcher Jayson E. Street, trató sobre cómo hacer ingeniería social con herramientas como ChatGPT.
Otra de las conferencias destacadas tuvo que ver con abusar de Windows Hello, el mecanismo que usa Microsoft para loguearse en el sistema operativo. Y sin dudas una de las más llamativas fue una titulada “Eradicating Hepatitis C with Bioterrorism”, donde se expuso sobre la propiedad intelectual en medicamentos para tratar la hepatitis C (Sofosbuvir): “Si tenés 84 mil dólares, esta enfermedad no es un problema. Pero para el resto Four Thieves Vinegar Collective desarrolló una forma de hacer que el tratamiento cueste 300 dólares”, planteó el colectivo que organiza el proyecto.
También se realizó la tradicional “101”, una conferencia introductoria para quienes asisten por primera vez, donde se repasa el código de conducta de DEF CON y algunas reglas básicas como la conocida “3-2-1”: al menos tres horas de sueño por día, dos comidas y una ducha. La semana de DEF CON es conocida por la enorme cantidad de fiestas y reuniones nocturnas que hay en diversos hoteles y locaciones de la ciudad de Las Vegas.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
El “badge” interactivo: un mini videojuego
Una de las características de DEF CON es que "badge", esto es, el ticket de admisión (que cuesta 460 dólares en cash y 480 con medios de pago electrónicos), es interactivo. En este caso, se trata de una pequeña computadora que tiene un juego incluido al estilo Pokémon, que sirve también como mapa del enorme Centro de Convenciones de Las Vegas.
Tiene un “modo badge” con forma de gato y, si se lo invierte, opera como una pequeña consola que tiene detrás una Raspberry Pi RP2350. Al abrirlo, el asistente se encuentra con un personaje en un cuarto de hotel que es invitado a salir y, una vez fuera, se mueve en una versión digital tipo 8-bit por el Centro de Convenciones. Y como casi todos los años, tiene “easter eggs”, sorpresas para descubrir, además de estar pensado para interactuar con otros asistentes. Al ir avanzando en el juego, distintas luces se van prendiendo físicamente en el badge.
Si se juega mucho, el dispositivo se apaga y llama al jugador a interactuar con otro “humano” (así dicen los badges, aunque hay distintos tipos). Y además, tiene eventos en tiempo real (por eso le pide al usuario poner fecha y hora al iniciar).
Al encenderlo, aparece en pantalla una idea del autor y crítico tech Cory Doctorow. “La enshittification ha caído sobre toda la red y todo lo que queremos: necesitamos tu ayuda para hacer un mejor lugar para todos”, dice. Se refiere al proceso mediante el cual las plataformas que se usan en internet, en algún momento, se vuelven abusivas con sus usuarios.
“Todas las plataformas se están convirtiendo en un montón de mierda y por eso es hora de dejar de intentar averiguar cómo salvarlas: es momento de empezar a evacuarlas”, sentencia en la propuesta de su proyecto del escritor, que dio también una charla este viernes y dará otra en relación a esta idea este sábado.
Sobre DEF CON
Defcon se realizó por primera vez en junio de 1993, organizada bajo la dirección del hacker Jeff Moss cuando tenía 18 años. En la actualidad ya va por su edición número 32 y, desde aquel entonces, muchos aspectos cambiaron pero el espíritu se mantiene igual: sigue siendo una reunión de “la comunidad” y como tal está autogestionada.
La conferencia consiste en una serie de charlas principales (que se llevan a cabo en lo que se conoce como el “main track”) y “villas”, que son espacios específicos con ensayos, laboratorios y hackeos de todo tipo y en relación a todos los sectores que el público pueda imaginar: redes, sistemas, autos, satélites, aplicaciones, radios y más.
Junto con Black Hat, de perfil más corporativo, conforma lo que se conoce como el "Hacker summer camp” y convoca a decenas de miles de hackers de todo el mundo. La historia de DEF CON se puede ver en este documental online, gratis.
🔗 Más info
Microsoft reporta un zero day de Office
Rusia bloquea Signal por “violar leyes anti-terrorismo”
Todo sobre el patch del bug de procesadores Raptor Lake de Intel
El software open source, bajo la lupa de la Casa Blanca en infraestructura crítica
Delta Airlines dice que Crowdstrike llegó tarde para ayudar en el último incidente