Op vrijdag de dertiende ontving ik een last-minute uitnodiging voor de twaalfde Black Hat Session. Aangezien ik de mensen van Madison Gurkha regelmatig tegenkom op securitybeurzen en het onderwerp 'Inlichtingendiensten, Spionage en Privacy' me bijzonder aansprak, ging ik hierop in. Hier kreeg ik geen spijt van. Wat eten, drinken en locatie betreft, pico bello. Maar daar ging het niet om.
Onder het motto ‘kennis delen’ werd er een bento box op ons losgelaten, met genoeg smaken voor elk wat wils. De workshop met als toetsenbord programmeerbare usb-stick was al volgeboekt, gelukkig was er nog genoeg interessants over.
Om te beginnen kwam een van mijn favoriete Europarlementariërs vertellen over wat zij zoal uitspookt in het Europarlement. Met Marietje Schaake deel ik haar zorgen over het misbruik door bijna alle overheden van surveillance-apparatuur, maar ook hun onbekendheid met de mogelijkheden en valkuilen van ict. Ik ben dan ook blij met wat ze vooralsnog in het Europese Parlement voor elkaar heeft weten te krijgen, al zijn de wetgeving en maatregelen nog lang niet toereikend.
Legal interception-systemen
Dat de overheid meer en meer afhankelijk wordt van private partijen, en hier dus ook kwetsbaarder door wordt, is mij nog duidelijker geworden. Dat leveranciers van legal interception-systemen hun slechte reputatie op het gebied van privacy juist als een pluspunt zien, was nieuw voor me. Het zou grappig zijn als het niet zo triest was.
Een ander inzicht was dat overheden geen wet- en regelgeving voor zero day exploits zouden willen omdat ze er zelf afhankelijk van zijn, of zelfs verslaafd. Dat onze Commissie Stiekem al jaren klaagt over het gebrek aan medewerking van inlichtingendiensten maar ook al jaren roept dat de controle prima in orde is, is een tikkeltje tegenstrijdig en een voorbeeld van het onverantwoordelijke gebrek aan democratische controle en rechterlijke toetsing dat inherent lijkt aan het werken met inlichtingendiensten. Zeer informatief, maar ik werd er niet vrolijker van.
TREsPASS
Van de sessie daarna wel, van Wolter Pieters over TREsPASS. Ik kon kiezen tussen vier technische en vier niet-technische sessies. Ik heb gekozen voor niet-technische sessies in de ochtend en technische in de middag. Maar ik had ze allemaal wel willen volgen. Gelukkig komen ze online, als ik me niet vergis. Maar nu terug naar TREsPASS.
Door in kaart te brengen langs welke lijnen aanvallers kunnen proberen in te breken, en wat hen dat kost qua centen, tijd en kennis, kun je bepalen welke beveiligingsmaatregelen het beste rendement opleveren. Gekoppeld aan systemen als Archimate kun je zoiets gebruiken als een navigatiesysteem, dat je kan vertellen wat de voor de aanvaller meest economische en efficiënte manieren zouden zijn om binnen te dringen, al naar gelang de resources van de aanvaller. Uiteraard hebben de criminelen allang zoiets, maar die moeten eerst maar zien dat het interne netwerk van het doelwit in kaar gebracht wordt. Dit alles uiteraard onder de paraplu van risicobeheer. Leuk waren de link met de in de fysieke wereld allang bekende classificaties voorinbraakwerendheid, die zijn er namelijk niet in de digitale wereld, en het laptopdiefstal-experiment. Zeer interessante materie.
Ot van Dalen
Hierna was Ot van Dalen aan de beurt, die een schets gaf van de geschiedenis van het gevecht tussen privacy en staatsveiligheid, dat al gaande is sinds het idee van privacy populair is geworden. Wat pijnlijk duidelijk is geworden dat inlichtingendiensten bijna allemaal roepen dat ze zich aan de wet houden, en daarna doen waar ze zin in hebben. Een de gevaarlijkste voorbeelden hiervan is wel het ondermijnen van encryptie en encryptiestandaarden, waardoor iedereen kwetsbaarder wordt. Als bijvoorbeeld financiële transacties via internet niet alleen te monitoren maar ook te manipuleren zijn moeten we allemaal terug naar contant geld.
Wanneer een inlichtingendienst zijn spyware laat meeliften met Windows Updates kun je dat zeker vergelijken met het vervoeren van sluipschutters in Rode Kruis-auto’s. Bedenkelijk is dat er, ondanks dat de AIVD niet rechtstreeks de AMS-IX mag aftappen, er blijkbaar geen bezwaar is wanneer de NSA dit zou doen en daarna de witgewassen informatie bij de AIVD inlevert. De AIVD zou er toch voor moeten zorgen dat AMS-IX niet afgetapt wordt?
IPv6 en hardeschijfversleuteling
Na een paar lekkere broodjes kregen we van Sander Degen uitleg over de mogelijkheden en uitdagingen voor verdediger en aanvaller wanneer IPv6 in het plaatje komt. Fragmentatie is nog steeds een issue, begrijp ik. Uitermate informatief, en kijk zeker ook naar het in zijn presentie genoemde rapport. Ik kan hier niets meer aan toevoegen.
Aangezien ik al bijna 25 jaar met hardeschijfversleuteling bezig ben, had het onderwerp van Job de Haas, Spies and secure boot, mijn speciale interesse. Tot en met slide 44 (ze gingen heel snel!) was er voor mij geen nieuws, maar werd de kennis zeer smakelijk en behapbaar opgediend. Wat mij betreft een aanrader voor iedereen die security-wise met TPM/UEFI/Bitlocker/Windows 8/smartphones/tablets te maken krijgt. Tip: versleutel niet alleen je schijven, maar ook je (vertrouwelijke) bestanden.
Minpuntje
Over het slotwoord van Wilma van Dijk kan ik kort zijn: Volgens mij kwam het uit de mond van een professionele en bevlogen dame, wier oprecht streven het is van Nederland een digitaal gezien veilige plek te maken. Haar gevoel voor humor zal de door haar nagestreefde samenwerking schuine streep participatie van overheid en bedrijfsleven op het gebied van digitale veiligheid zeker goed doen. Ik wens haar veel succes!
Het enige minpuntje: het overvloedige gebruik van het woord ‘cyber’.
