SHA2017: 3300 hackers op een camping in Zeewolde
Van 4 tot en met 8 augustus vindt op een camping in Zeewolde SHA2017 plaats, de nieuwste editie in een reeks Nederlandse hackerconferenties die elke vier jaar door vrijwilligers worden georganiseerd. Het begon in 1989 met de Galactic Hacker Party, waarbij Observe. Hack. Make. (OHM) de afgelopen editie van 2013 was. Tijdens het evenement dit jaar, waar plek is voor 3300 hackers, vinden tal van workshops, lezingen en demonstraties plaats over allerlei onderwerpen die met security, hacking, making, software, Internet of Things, privacy en het internet te maken hebben. Verschillende bekende namen zoals pgp-ontwikkelaar Phil Zimmermann en Peter Eckersley van de EFF zullen lezingen geven. Security.NL sprak met Attilla de Groot, projectleider van SHA2017.
Waar komt de naam SHA2017 eigenlijk vandaan?
De Groot: We zijn eigenlijk begonnen met de afkorting en later hebben we de naam erbij bedacht. Elk hacker event had een afkorting van drie letters met het jaartal. Still Hacking Anyway leek ons een goede naam, omdat er op dit moment veel in de wereld speelt. En het idee is dat we gewoon doorgaan waarmee we bezig zijn.
Wat is het thema van het event?
De Groot: Eén van de pijlers is "Convenience and Resilience", waarbij centraal staat wat we doen om ons leven eenvoudiger te maken en welke gevolgen dit voor onze privacy, security en dagelijks leven heeft.
Elk event wordt door een eigen crew georganiseerd. Wat doen jullie om SHA2017 een eigen identiteit te geven?
De Groot: SHA2017 is een vervolg op OHM 2013, maar veel van de vrijwilligers waren ook bij de vorige edities betrokken. Ten opzichte van OHM zijn er wel enkele verschillen. De vorige keer waren er een aantal sponsors die niet op prijs werden gesteld, dus hebben we nu een ander sponsorbeleid. We hebben besloten dat we bedrijven die niet bij onze standpunten passen niet als sponsor willen hebben. Ook is er een aparte programmacommissie waar geen invloed van buitenaf op is.
Was het door dit nieuwe sponsorbeleid lastig om sponsoren te vinden?
De Groot: Een ander beleid heeft ervoor gezorgd dat de sponsorbedragen lager zijn. De vorige keer werden er sponsortentjes naast de grote speakertenten neergezet. Dat doen we nu niet meer. Dat houdt in dat er minder geld van sponsors is. Daardoor is de ticketprijs iets hoger geworden, want het moet wel allemaal betaald worden. Daarnaast zijn de sponsoren die we nu hebben direct gekoppeld aan projecten, bijvoorbeeld voor onze elektronische badge. Het meeste geld wordt echter met de ticketverkoop opgehaald en we verdienen iets aan de merchandise.
Voor wie is het evenement bedoeld? Komen er echt alleen hackers?
De Groot: Dan kom je in een grijs gebied van wat de definitie van een hacker is. Er zijn veel aspecten bij gekomen. Bijvoorbeeld mensen die elektronica ontwikkelen of 3d-printers maken. Privacy was altijd al een onderdeel maar komt steeds meer aan bod. Het is al met al veel breder geworden, maar het is nog steeds diep technisch en gericht op security. Dat heeft wel het grootste aandeel.
Het is dus voornamelijk voor de echte hacker bedoeld?
De Groot: Absoluut!
Wat zijn de mogelijkheden voor hackers die een hekel aan kamperen hebben. Zijn er uitwijkmogelijkheden?
De Groot: Er is een hotel aan de overkant, maar we kregen van de week een bericht dat het helemaal volgeboekt is. Er zijn nog wel enkele hotels in de buurt te vinden, als je dat zou willen. Maar het is uiteindelijk een 'hacker camp' dat houdt wel in dat als je niet wilt kamperen en alleen bij de lezingen wil zijn dit kan, maar dan krijg je niet alles mee wat er gaande is op het evenement. We hebben een leuke food area, een bar en allemaal villages die hun eigen dingen organiseren. Dat wil je ook meemaken.
Wat is de grootste uitdaging bij het opzetten van een evenement van deze omvang?
De Groot: Het verkrijgen van een vergunning is altijd lastig. We hebben een heel boekwerk ingeleverd en de mensen die dat beoordelen weten niet wat voor evenement het is. Bij een vergunningsaanvraag ligt de nadruk op de veiligheid. De veiligheidsincidenten die zich bij vorige edities van het evenement voordeden zijn minimaal en niet te vergelijken met andere evenementen. Toch willen ze de veiligheidsmaatregelen uitgeschreven zien. En dat is ook logisch, want er hebben zich bij andere evenementen natuurlijk wel dingen voorgedaan. De politiek en de ambtenaren willen gewoon zien dat de veiligheid van de bezoekers is gewaarborgd.
Over veiligheid gesproken, hoe zit het met de beveiliging van het netwerk dat op SHA2017 aanwezig is?
De Groot: We hebben een honderd gigabit uplink naar internet toe. Iedereen kan daar zijn apparatuur op aansluiten. Je bent zelf verantwoordelijk voor wat je op het netwerk aansluit. Onze beveiliging zelf zit met aparte vlan's, etc. Ook wij moeten onze servers afschermen tegen mensen die daar iets mee willen doen.
Welk advies geven jullie aan mensen die hun eigen laptop meenemen?
De Groot: We hebben op de wiki een pagina over 'How to survive' met allerlei adviezen over wat je met je laptop moet doen, zodat je niet de pineut wordt van een ander.
Bij OHM2013 hadden sommige mensen kritiek op de aanwezigheid van de politie. Is de politie dit jaar aanwezig en wat zeggen jullie tegen mensen die hier vragen over hebben?
De Groot: Wij hebben contact met de wijkagenten, maar die zijn zelf op vakantie. Ze hebben het recht om te komen kijken. Maar op OHM was er al nauwelijks contact met de politie zoals dat bij HAR en WTH het geval was. Op die evenementen was er ook een speciale bus van het Team High Tech Crime. Dat is niet meer het geval, omdat ze hebben geleerd dat wij niet de personen zijn die zij moeten hebben om het zo te zeggen.
Jullie hebben een uitgebreid overzicht online staan met alle talks die tijdens het evenement gegeven worden en een selectie van zeven talks gemaakt, maar naar welke lezing kijk je zelf het meest uit?
De Groot: Ik ben erg benieuwd naar "Hack North Korea" van The Human Rights Foundation. Zij laten zien hoe informatie Noord-Korea binnen wordt gesmokkeld via ballonnen, usb-sticks, dvd’s en kortegolfradio's.
Welk congres was dat ook al weer in den haag?
Dat congres waarbij de hele stad tot in de duinen aan toe met tanks en betonblokken werd afgezet om onder meer extreem staatsgevaarlijk veronderstelde hackjournaille als Brenno de Winter te weren en een interne landelijke waarschuwing op de mail te zetten.
Gaat het omgekeerde nu ook gebeuren?
Gaan hackers nu ook tegen de staat en anderen beschermd worden?
Stel je voor, alle hackers bijelkaar op een kluitje, een mooiere kans ligt er niet om te grijpen.
Dat laatste moet natuurlijk voorkomen worden!!
Gaan we zien dat alle burgers evenveel recht op beveiliging mogen genieten.
Of gaan we zien dat sommige groepen minder equal zijn dan anderen?
Maar misschien hoeft het ook niet omdat een kwart van de aanwezigen zal bestaan uit sigint personeel uit alle staatshoeken van de wereld.
Dus als de aivd er zelf rondloopt om polshoogte te nemen zal het wel snor zitten.
Das dan weer een voordeel bij een nadeel.
Mits de veronderstellingen kloppen natuurlijk, anders hebben we weer een probleem.
Goed blijven opletten, hackers kunnen we net zoals journalisten niet missen, als vinden anderen ze soms maar veel te lastig.
Wel of geen adequate beveiliging kan daarom best impliciet opgevat worden als een alternatieve staatsrechtelijke graadmeter van hoe bijvoorbeeld de overheid staat tegenover dit event en in principiele zin naar 'gelijkheid' voor iedereen.
Democratie en security kun je wel voor lief nemen maar zodra het weg is krijg je het nooit meer terug.
De kosten van het evenement zouden volgens SHA 1.1 miljoen euro bedragen.
De primaire kosten zijn
- Terreinhuur
- Feesttentenhuur
- Electriciteit
- Netwerk
-
De overige kosten zoals het inhuren van sprekers enzo zouden allemaal nagenoeg gratis geregeld kunnen worden en kosten van voorzieningen en dergelijke heb ik vanwege het relatief kleine bedrag buiten beschouwing gelaten. (er komen dus nog wel wat kosten bij)
-
Als ik echter uitga van consumentenprijzen zonder (quantum/vrienden)kortingen, dan kost
- terreinhuur 9,63 euro per dag incl sta-plaats voor caravan/tent en milieuheffing. 3300 x 9,63 x 4 = 127.116 euro
- feesttentenhuur met vloer en op/afbouw toereikend voor 3300 zitplaatsen met pc = 52.335 euro
- lange tafels voor 3300 mensen = 7.425 euro
- 2063 KVA aggregaat (genoeg voor 3300 x 500 watt gelijktijdig) = 5.415 euro
- Netwerkhuur heb ik zo niet kunnen vinden dus zijn geen huur maar aanschafprijzen (die waarschijnlijk niet gemaakt hoeven te worden door gebruik hardware vorige jaren)
69 48-poort unmanaged switches + 10 patchkasten = 10280 euro
Bij een gemiddelde afstand van 30 meter per aansluiting is er 99000 meter UTP6 nodig = 56034 euro
Totaal = 186.876 euro.
Dan vraag ik mij ook af waar die overige 813.124 euro in zit.
Eén ding is zeker, Het had zeker niet zo duur hoeven zijn.
Eén ding is zeker, Het had zeker niet zo duur hoeven zijn.
https://wiki.sha2017.org/w/Budget
Geeft dit voldoende uitleg?
Er zijn nog kaarten
Gedurende het event zal ik aktief zijn op VHF / UHF ( meestal op PI2NOS ) met de roepletters PF6SHA.
73,s, René, PA0AA.
- Netwerkhuur heb ik zo niet kunnen vinden dus zijn geen huur maar aanschafprijzen (die waarschijnlijk niet gemaakt hoeven te worden door gebruik hardware vorige jaren)
69 48-poort unmanaged switches + 10 patchkasten = 10280 euro
Bij een gemiddelde afstand van 30 meter per aansluiting is er 99000 meter UTP6 nodig = 56034 euro
Bwhahaha, grappig. Leuk zo'n 2063 kVA aggregaat, maar hoe zorg je ervoor dat over de lengte en breedte van het terrein (grofweg 1x1 kilometer) ook daadwerkelijk iets aangesloten kan worden? Wat doe je met transport van een dergelijk apparaat (een model van Caterpillar weegt meer dan 8000kg), brandstofkosten, etc. etc.
Idem voor het netwerk. Ik wil je nog wel eens een event zien bouwen met 69 unmanaged switches, op een dergelijke manier dat iedereen een stabiele verbinding heeft. Succes met een broadcast storm, ARP-spoofing, netwerkloops...
Totaal = 186.876 euro.
Dan vraag ik mij ook af waar die overige 813.124 euro in zit.
Eén ding is zeker, Het had zeker niet zo duur hoeven zijn.
Je vergist je echt in de schaal van een evenement op een vrijwel leeg terrein, waarbij (zowel bedraad als draadloos) internet en stroom tot in de tent mogelijk is; er meerdere, simultane praatjes zijn op verschillende lokaties; sanitaire voorzieningen (waarbij er regelgeving is over het aantal toiletten/douches per aantal mensen); (grof)vuilafvoer; voedsel voor vrijwilligers...
Het budget wat je voorstelt lijkt meer op een LAN-party van 3300 personen. Zo kan ik ook wel 150 euro per persoon van een event afsnoepen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
