De dertiende editie van de jaarlijks georganiseerde Black Hat Sessions van Madison Gurkha vond afgelopen 18 juni 2015 plaats. Bijna vierhonderd mensen bezochten het evenement. Het dagprogramma werd gevuld door een veelzijdigheid aan seminars, die bovendien werden opgesplitst in technische en niet-technische sessies. Het programma werd onder andere gevuld door keynote-spreker Eric Luiijf van TNO en keynote-spreker Hans de Vries van het Nationaal Cyber Security Centrum.
De dag werd geopend door de dagvoorzitter. Hij kondigde de keynote-spreker aan die de aftrap zou nemen, namelijk Eric Luiijf van TNO. Hij wijst er in zijn keynote op dat het onduidelijk is wie er verantwoordelijk is voor beveiliging. Is dit iemand aan het eind van de keten of begint dit al bij de installateur, vraagt hij zich af. Aan deze vraag wordt nu weinig aandacht besteed, maar dit zou anders moeten zijn, meent hij. Bij elke nieuwe technologie die opkomt, is het bovendien zo dat functionaliteit eerst komt. Op welke plek security zou moeten staan, daar wordt nog niet aan gedacht.
Wat kunnen we hier aan doen? Luiijf ziet dat bedrijven wel hun best doen, maar het is dweilen met de kraan open: Je start al in een onveilig systeem, waar je enkel wat beveiligingslagen omheen kan plakken. Hij legde in een interview met Computable al uit dat we in Nederland ‘onbewust onveilig zijn’. De boodschap die Luiijf dan ook mee wil geven is dat we moeten leren van onze fouten. ‘Maak een analyse van eerder falen en maak op basis daarvan aanpassingen. Het moet een continu leerproces zijn.’ Tot slot zegt hij: ‘Het wordt steeds onveiliger in Nederland, maar we kunnen dit niet alleen in Nederland oplossen. Dit moeten we met zijn allen doen in cyberspace.’
Na de keynote beginnen de parallelle tracks. Het is hierbij de keuze aan de bezoeker of zij de technische of niet-technische seminars willen bezoeken. In de niet-technische zaal begint een seminar over de rol van it in terrorisme(bestrijding). Analist Teun van Dongen verzorgt een interessante sessie over hoe terroristen internet gebruiken om propaganda te verspreiden en te rekruteren. Ook gaat Van Dongen in op de stelling of meer informatie nuttig is voor het pakken van terroristen. Hij meent zelf dat het niet draait om méér informatie, maar juist om de manier waarop databases gekoppeld moeten worden. Hoewel het een interessante seminar was, kon Van Dongen geen antwoord geven op de vraag welke technieken de terroristen gebruiken om anoniem via internet te communiceren.
Cybersecurity in de praktijk
Na een korte koffiepauze bezoek ik opnieuw een niet-technische sessie. Dit maal van Paul van der Ploeg, information security officer (iso) bij NRG. NRG is ontwikkelaar van isotopen voor medische behandeling, zoals behandeling van kanker. Van der Ploeg legt uit dat het van groot belang is dat hun systemen te allen tijden beveiligd zijn. Wanneer zij bijvoorbeeld een week geen werk kunnen doen, is dat een ramp voor de medische wereld. De beveiligingsprocessen van NRG lopen dan ook volgens het boekje, zoals ik naast me in de zaal ook hoor fluisteren. Zo wordt er een dreigingsanalyse opgesteld. Vervolgens worden de risico’s geanalyseerd in workshops. Hierbij wordt gekeken naar de consequenties van dreigingen en welke maatregelen er moeten worden genomen. Ook worden er aanvalspaden gemaakt. Dit bestaat uit het bedenken van mogelijke aanvalsscenario’s, waardoor ontdekt wordt waar de beveiliging mogelijk nog te zwak is.
Een belangrijke beveiligingsmaatregel die door het NRG wordt genomen is ‘zonering’. Zonering houdt in dat het netwerk in bepaalde zones wordt opgedeeld, zoals een zone voor leveranciers, het kantoor, externen en procestechniek. Iedere zone heeft een eigen netwerk en deze netwerken staan niet in verbinding met elkaar. Vertrouwelijke informatie is dus ook niet te bereiken met het kantoornetwerk. Maar de focus van de informatiebeveiliging ligt volgens Van der Ploeg op het creëren van bewustwording bij de medewerkers van NRG. Dit doen ze door workshops te organiseren en audits te doen. Vanuit de zaal klinkt veel bewondering voor de aanpak. ‘De eerste stappen zijn bij ons al gezet’, hoor ik om me heen. Een aantal van de bezoekers is bijvoorbeeld al bezig met zonering. Maar tegelijkertijd weten ze dat er bij kleinere bedrijven niet genoeg tijd en mankracht is om dit zo aan te pakken. Maar op kleinschaliger niveau moet dit ook voor hen te realiseren zijn, menen ze.
Frank van HR gehackt
Na de lunch besluit ik de technische sessie een security consultant Daniël Dragičević van Madison Gurkha te volgen. Hij legt in een uur stapsgewijs uit hoe een hacker te werk gaat wanneer hij een bedrijfssysteem wil infiltreren. ‘Dit doet de hacker via het systeem van een medewerker’, legt Dragičević uit. Hij noemt als voorbeeld Frank van personeelszaken die in zijn pauze even een koffie haalt bij een populair café en daar op het openbare Wi-Fi-netwerk nog wat werk doet. De eerste stap die een hacker volgens Dragičević zet is het verkrijgen van toegang. Dit kan hij doen door middel van een aantal tools. Zo heeft hij een Wi-Fi access point nodig en de tools Metasploit en Beef. Nadat de hacker toegang heeft, is het een kwestie van een backdoor installeren zonder dat dit door een antivirus wordt gedetecteerd. Wanneer Frank van personeelszaken nu op zijn werk verbinding maakt met het netwerk kan de hacker zijn weg vinden naar het bedrijfssysteem.
Tijdens de demo verkent Dragičević vervolgens het netwerk. Hij kijkt hierbij naar welke domeinen, systemen en gebruikers er zijn. Door slimme keuzes te maken krijgt hij uiteindelijk alle rechten van het systeem en krijgt hij toegang tot de file server van het bedrijf. ‘Eng eigenlijk hoe makkelijk dat gaat hè,’ hoor ik twee bezoekers achter me tegen elkaar zeggen. Met een paar programma’s en in korte tijd weet Dragičević in de demo toegang te krijgen tot de file server van het bedrijf. En daarbij komt nog: het antivirus systeem heeft nooit de hack-activiteiten opgemerkt.
‘We doen het helemaal niet zo slecht’
Hans de Vries van het Nationaal Cyber Security Centrum sluit de dag af met een positieve noot. Volgens hem doen we het in Nederland echt zo slecht nog niet op het gebied van informatiebeveiliging. Zo beseffen steeds meer bedrijven dat het werk van ethische hackers nut heeft en wordt er al veel tussen publiek en privaat samengewerkt. Volgens De Vries zou samenwerking op het gebied van cybersecurity dan ook verplicht moeten worden. Hierbij moet wel rekening gehouden worden met het drieluik-beleid: veiligheid, privacy en maatschappelijke groei.
Presentaties terugkijken
Alle presentaties tijdens de Black Hat Sessions zijn op film vastgelegd. Medio augustus zullen deze video’s vrij toegankelijk worden gemaakt voor iedereen. Houd de website van de Black Hat Sessions in de gaten voor meer informatie hierover. Voor nu kan de aftermovie hieronder alvast worden bekeken.
Hans de Vries kan, wil hij politiek gezien goed blijven liggen in de opinie geen andere stelling aannemen dan dat alles redelijk goed gaat.
Want statistieken geven zelden een accuraat beeld van hoe veilig bedrijven zijn.
Dan zal het dit toch heel goed moeten kunnen onderbouwen.
Interessant artikel en dat lijkt een leuke bijeenkomst. Dat stukje over zonering was leerzaam.