Dag 0
Bilen er pakket, køletasken fyldt op, min kæreste, Kathrine, og toårige datter, Ronja, på plads, og vi er nu på vej til hacker-/maker-konferencen OHM2013 nær Alkmaar i Holland.
Jeg ved, hvad du tænker: “Hvem er masochistisk nok til at tage på konference i sin ferie? Og sadistisk nok til at tage sin stakkels familie med?”
OHM, som står for “Observe Hack Make”, er ikke en helt almindelig konference. Den afholdes kun hvert fjerde år - i 2013 fra 31. juli til 4. august - og den skifter navn hver gang. Jeg var med for fire år siden, da den hed HAR (Hacking At Random), og jeg blev noget overrasket. Jeg har været til en del konferencer før, men den her foregår på en festivalplads og minder faktisk utroligt meget om en festival ... skift musikken ud med interessante taler, så ved du, hvad jeg snakker om.
At der er noget anderledes over konferencen, ser man allerede, når man bestiller billetter, for de fås nemlig i tre prisklasser: Almindelig, billig og dyr. Forskellen? Den dyre er dyrere end den almindelige, og den billige er billigere. That's it! Og billetterne er i det hele taget ret billige, for noget andet er, at alle deltagere samtidig er frivillige på pladsen, og det står også med store bogstaver på billetten. Alle kan til hver en tid blive bedt om at hjælpe med at slæbe stole. Det sker selvfølgelig ikke, hvis man ser travl ud eller ser ud til at være på vej til en talk, men hele arrangementet hænger kun sammen til prisen, hvis alle hjælper til.
Emnerne for talerne er ret brede, men de fleste handler om maker-kulturen eller computersikkerhed, privatliv og politik. Sidste år var Julian Assange på podiet med sit, på det tidspunkt, ret ukendte projekt, WikiLeaks. Han skal på igen i år, hvor der også vil være et panel af tidligere ansatte hos FBI, NSA, CIA og MI5, kaldet “The Great Spook Panel”. Efter Edward Snowden-affæren skal det nok blive spændende at høre, hvad Assange har at sige.
Man sover i telte, som alle er trukket op med en kablet internetforbindelse, og der står aflåste switch-skabe rundt om på pladsen, hvor man bare trækker sit kabel hen til. Så kommer der før eller siden en ansvarlig og kobler én op.
Ligesom på andre festivaler er det sociale i høj kurs, og det ér jo også i ferien, så man skal ikke kun haste rundt og se flest mulige talere. Man skal også slappe af, nyde en kold øl og møde nye og gamle venner.
Teltpladsen er delt op i såkaldte villages. En village er en samling af ligesindede - lidt som en user group, og der plejer at være mange spændende - blandt andre Lockpick Village, som består af låseeksperter. Så skal man have lært at dirke en Ruko-lås op, kan man sikkert lære det hos dem. De førnævnte aflåste switch-skabe står ofte også med åbne døre ... hvorfor mon?
Jeg selv har valgt at ligge i Family Village, hvor der er stille om aftenen.
De fleste deltagere arbejder med computere eller er blevet hevet med af et familiemedlem, som gør, men der er også en del digitale kunstnere, så især om natten er pladsen flot.
Jeg vurderer, at der sker så meget spændende, at familien også kan få noget ud af det, men om jeg får ret, ved jeg først om en lille uges tid.
Dag 1
Vi kommer to dage for tidligt, så vi har hjulpet med at sætte nogle telte op. At komme tidligt er måske ikke så strategisk genialt, for det eneste fungerende toilet er cirka en kilometer fra vores telt, og der er kun ét bad.
Hele tirsdag og natten med har lejren ligget under vand. Det var tiltrængt, for her var meget støvet, og teltpløkkerne var umulige at trykke ned i den hårde jord. Nu lykkes det.
Techno og loddestationer
De fleste deltagere har efterhånden fået deres telte op, og det er tydeligt, at det ikke er en almindelig campingplads. Techno-rytmerne lyder over hele pladsen, og mange telte er udstyret med loddestationer, voltmetre og oscilloskoper, 40”-computerskærme og andet spændende grej, og vanen tro har arrangørerne selv været i gang med at lodde tusinder af flerfarvede lysdioder sammen, som om aftenen skal oplyse pladserne.
Der er cirka syv til otte samtidige tracks hele dagen igennem, så man skal planlægge sin tid. Første talk er et tilbageblik på tidligere år og en hyldest til de frivillige, som har lagt måneder af deres liv i at lave dette event.
Klokken er nu 14:15, og jeg er lige kommet tilbage efter en introduktion til lockpicking. Verdensmesteren i lockpicking viste, hvordan låse virker, og hvordan man dirker dem. Det er ret interessant, og publikum går helt amok, da han på scenen på få minutter og med værktøjer for under 100 kroner filer en ny nøgle til en lås uden at have originalen. Nu er jeg bare træt af, at jeg har glemt mit dirkesæt derhjemme.
Der er næsten alt, hvad man skal bruge, på pladsen. Et spiseområde har fire små primitive restauranter med hollandsk, amerikansk, italiensk og kinesisk/indisk mad. “Rigtige” penge er bandlyst, så man må veksle sine kontanter til OHM-coins, som er plasticjetoner. På den måde undgås det, at der er noget, der er værd at stjæle i boderne. Der er også en lille købmand, som har det mest nødvendige: Brød, pålæg, snacks, juice, mælk og lignende.
Assange live fra London
Klokken 17 er jeg til en talk om fuzzing, som er en metode til at bruteforce input til programmer for at få dem til at crashe. Taleren holder sig til en case med XSLT-fuzzing, som han har brugt mod en stribe programmer. Nogle af dem har han brugt få minutter på at sætte op til test, og få timer senere har han tre sårbarheder, som kan udnyttes til at udføre kode. Der bliver nævnt to værktøjer, som jeg ikke kender: Radamsa, som er en ret simpel fuzzer, og Address Sanitizer (eller ASAN), som er en compiler-plugin til LLVM-compileren. Den instrumenterer dine programmer og rapporterer problemer såsom use-after-free og off-by-one overflows, som ikke altid med det samme resulterer i crashes.
Aftenen afslutter jeg med at overvære en talk med Julian Assange fra hans eksil i London. Han snakker om privatliv og om, hvordan store firmaer som Google har solgt ud og er blevet for kommercielle og samarbejder med den amerikanske regering. Hans forslag? Kom i gang med at lave alternativer.
Jo tak.
Dag 2
Det er nu torsdag, og lejren vågner op til en vindstille dag med hedebølge. Det er slet ikke til at holde ud at gå for meget rundt, så de fleste sidder i deres telte (de heldige har en blæser med) og roder med deres projekter.
Så smart er jeg ikke, så jeg går en tur rundt på pladsen og tager nogle billeder. På turen finder jeg låsesmedenes telt, hvor jeg køber mig et nyt dirkesæt, og så kan jeg ellers gå i gang med de hundreder af forskellige låse, låsesmeden havde med. Det samme har andre valgt at gøre, så vi sidder nok en 15-20 mand og klumrer os igennem. Heldigvis er der også et par øvede til stede, som hjælper os, når vi ser ud til at være lost.
Klokken 12 er jeg til en underholdende talk om, hvorfor programmering stinker. Den handler om nogle af de dårlige vaner, vi programmører har, såsom at fokusere på ligegyldige småting. Taleren nævner et projekt, som havde fem wikier, et bugtracking-system, en udvikler-mailingliste og et versionsstyrings-system. Det havde så til gengæld ingen kode, og det eneste, der blev diskuteret på mailinglisten, var, hvorvidt det gav mening at omdøbe projektet og få et nyt logo. Han arbejdede for et projekt kaldet Code Club (www.codeclub.org.uk), som er en sammenslutning af klubber, der har til formål at lære 9- til 11-årige at programmere. Deres tilgang er ikke at vælge det “rigtige” programmeringssprog at starte med, men at give ungerne et projekt, de kan lege med, og som kræver, at de programmerer. Så kan de vælge det rigtige sprog til opgaven efterfølgende ... et websprog, hvis det er en webopgave eller noget andet, hvis det er Arduino. Det skal være interessen for projektet, som driver læringen, og ikke selve dét at lære at programmere. Det kan der være noget om.
Ét af områderne på pladsen hedder Rainbow Castle. Det er et slot bygget af stilladser med presenninger omkring, og det huser gamle arkademaskiner og spillekonsoller. Det er helt fantastisk at gå igennem og se alle de gamle spil, som Monkey Island og Pacman, og også rart at se, at selv de små stadig synes, at spillene er sjove.
Reverse engineering på skodroutere
Klokken er nu over midnat, og jeg er lige kommet tilbage efter en talk af Felix “FX” Lindner. FX er lidt af en legende i (u)sikkerhedskredse. Han er medforfatter til “The Shellcoder's Handbook”, og han er en autoritet, når det kommer til hacking af netværksudstyr, især routere. Denne talk handlede om Cisco-routere og cloud-services, hvor han og hans kollegaer havde reverse engineeret koden til en af Ciscos større routere samt koden til netværksdelen af VMwares cloud-software. Uden at gå i for mange detaljer vil jeg sige, at det er vildt, at så store leverandører af så kritisk software og hardware kan lave så vanvittige fejl, lige fra hardcodede krypteringsnøgler, som er ens i alle produkter, til åbenlyse command injection-sårbarheder.
Han afsluttede med lidt off topic research ind i Ciscos implementering af de mekanismer, som PRISM bruger til at logge brugeres trafik, og også her har han fundet fejl. Han kan blandt andet se, om han bliver overvåget, for bliver han det, kan han med én pakke få en Cisco-router til at crashe, og derved ændrer hans trafik rute. Ganske spændende.
Dag 3
Vi er nu på tredjedagen, og igen har vi hedebølge. 34 grader er altså lige i overkanten for mig, og jeg tør heller ikke at bruge min laptop i den hede.
Unge raketbyggere
Et nyt tiltag i år er Child Node, som er en slags børnehave midt i Family Village. Der er en del helt små børn med på OHM, og i Child Node er der masser af legetøj og voksne til at holde øje. Det betyder, at mor og far kan tage til en talk samtidig uden at blive forstyrret af børnene. Vi har ikke benyttet os af den mulighed, men vi har været en del i Child Node-teltet og hygget os med Ronja og de andre unger. Der er også et telt for de lidt større børn, hvor maker-traditionen bliver videreført, så ungerne har bygget raketter, loddet små kredse og programmeret.
Jeg skulle have set en talk om Firefox-plugins, men jeg havde taget fejl af tiden, så jeg kommer en time for sent. I stedet overværer jeg en talk om penetrationstestning af en række telecom-udbydere. Holdningen hos teleudbyderne lader til at være, at deres setup er så specielt og komplekst, at sikkerhed ikke er så nødvendigt, for taleren har fundet temmelig mange problemer - lige fra hardcodede krypteringsnøgler til SQL-injections, ikke tilfældige sessionsnøgler og alle andre typer fejl, som man kan komme i tanke om.
Bagefter er jeg et smut forbi Lockpick Village og får mig 15 minutters øvelse med mine dirke. Denne gang med mere held. To låse bliver det til.
I sidste uge løb Blackhat-konferencen af stablen, og som noget nyt dér var efterretningstjenesterne ikke velkomne. Jeff Moss, som afholder Blackhat, mener, at følelserne er lidt for ophedede som følge af PRISM-afsløringen, så han mener, at det er bedst, hvis efterretningstjenesten holder sig væk. Sådan er det ikke her på OHM. Alle er velkomne, og i velkomstbrochuren bliver alle opfordret til at være åbne over for forskellighederne og lægge fordommene på hylden. Det er også en broget flok, som er samlet her. Punkere, hippier, cross-dressere, nørder, mænd i jakkesæt og slips ... alt og alle er vist repræsenteret.
I Holland er der en lov, der gør, at der ved så stort et arrangement skal være et professionelt vagtværn til stede, så der går også nogle store hårdtpumpede gutter rundt. Jeg spurgte i dag én af dem, om de havde haft nogle problemer, og han sagde, at det her var det nemmeste job, han længe havde haft. Det eneste problem, de havde haft, var en gammel dame, som var gal over, at hun ikke måtte cykle igennem området, som hun plejede.
Whistleblowere og bedstemormetoden
Jeg havde troet, at Snowden-affæren ville have haft en stor indflydelse på konferencen, og at mange af talerne ville have en holdning til den. Det har de sikkert også, men ikke meget har været nævnt. Det ændrer sig så lidt til den anden talk, jeg er med til. Det er “The Great Spook Panel”, som består af Annie Machon fra engelske MI5, Raymond McGovern fra CIA, Coleen Rowley fra FBI, Thomas Drake fra NSA og Jesselyn Radack fra DOJ. De er alle tidligere ansatte. De kunne ikke blive ved med at se bort fra den manglende etik og ulovlige praksis hos deres arbejdsgivere, så de endte alle som whistleblowere med store personlige konsekvenser til følge. Det er en meget spændende debat, jeg overværer. Den handler om etik og om at have modet til at sige fra, når man ser noget eller bliver bedt om at gøre noget, man ikke bryder sig om. Er man i tvivl, foreslår Coleen Rowley bedstemodermetoden: Ville du gøre det, hvis din bedstemor stod og så på? Hvis ikke, så lad være.
Der plejer at være en Capture The Flag-hacker-konkurrence til events som OHM, og det er der selvfølgelig også her. Den begynder her i dag, og jeg har tilmeldt mig. Jeg har ikke et hold, og jeg har ikke megen tid at putte i det, så jeg forventer ikke det helt store, men nu har jeg da lidt mere at lave om aftenen.
Aftenen slutter jeg af med en talk om en sårbarhed i NetBSD. Det er en tåbeligt navngivet funktion, som lod til at returnere en boolean (1 for true, 0 for false), men i stedet returnerede 0 for succes og en fejlkode for fejl, altså lige omvendt, og det var blevet misforstået et kritisk sted i firewall-koden. Det gør, at har man adgang til en NetBSD-maskine, så kunne man lukke alle andres forbindelser, men ikke sine egne ... det skulle have været omvendt. Fejlen har været der i fire år, men ingen havde opdaget den før nu, og den bliver fikset, en time inden taleren går på stolen.
Dag 4
Så begynder sidste dag. I morgen er det hele slut, og lejren skal brydes ned, men det bliver så stort et kaos, at vi vil tage herfra i dag. Der er dog et par interessante talks i dag, som jeg lige vil have med.
Den første er af et medlem fra det hollandske CTF-hold Eindbazen, som også afholder OHMs CTF. Han fortæller om deres exploit-udviklingskit, MoneyShot, som kan findes på GitHub. Det er et Python-projekt lidt i stil med Metasploit, men alle hackere har nok deres egne værktøjer - om ikke andet så for at have den fulde forståelse for, hvad der sker nedenunder.
Husk dropkablet
Jeg er en af de få, som ikke har et netværkskabel med, men som bruger WiFi i stedet. Det har jeg lidt fortrudt, for det har ikke været særlig stabilt, og internetadgang er bare vigtig på en camp som OHM. Måske skulle jeg have taget en cantenna med, det ville have været i maker-ånden.
På vej til anden talk er jeg liiige forbi Lockpick Village, hvor jeg når endnu en lås. Anden talk handler om Return Oriented Programming, som kort fortalt er en metode til at omgå en sikkerhedsmekanisme, der gør, at data ikke kan eksekveres. Den får jeg desværre ikke meget ud af, for taleren kommer for sent, taler dårligt engelsk, starter alle sætninger med fem sekunders “æææh, øøøh, uhm”, og så kan hans slides næsten ikke ses i solen. Jeg håber lidt, at han har en blog eller andre materialer på nettet, for det er et spændende emne.
Der er mange officielle arrangementer, og hver village har sine egne. For eksempel en introduktion til Arduino-udvikling i Arduino Village. Men de enkelte individer kan også lave deres egne arrangementer, så der har de sidste par dage været en kampsportsentusiast, som har undervist i karate og kung-fu. Godt initiativ, men i den hede foretrækker jeg en kold øl.
Så begynder den store nedbrydning af telt. Desværre er der begrænsning på, hvor mange biler der må komme ind på pladsen, og vi kan ikke få en tilladelse, så jeg må rende frem og tilbage med alle vores ting. Cirka én kilometer hver vej i over 30 grader med tungt materiel. Ikke sjovt. Næste gang medbringer jeg en trækvogn!
Kommer igen om fire år
En konklusion på turen: Er man til nørderi med hardware eller software, så er dette det ideelle sted at være. Stemningen er afslappet, og folk er hjælpsomme. Der findes mange lignende camps rundt omkring, men den her er så stor, at forholdene er perfektioneret. Både Kathrine og Ronja hyggede sig og er klar på at tage af sted igen om fire år, så det kan jeg anbefale, at du også gør.
