Donderdag 18 juni mocht ik voor Computable naar de Black Hat Sessions toe met als tegenprestatie een stukje schrijven voor de Computable. Natuurlijk was dat geen probleem. De meerderheid van de sessies was naar mijn mening erg aan elkaar gerelateerd en richtten zich op de gebruiker en functionaliteit met de gevolgen.
Goede voorbereiding is altijd heel belangrijk dus ik ging alvast naar de website om het programma te bekijken en mijn interesses uit te stippelen. Naast de keynotes waren er twee tracks: Technical en non technical. Op sommige gebieden was het lastig kiezen, maar aangezien ik zelf een techneut ben heb ik toch gekozen voor de technische track. De volgende sessies vielen hieronder:
- De techniek achter de anti-DDoS wasstraat
- Vulnerability inheritance in Dutch controllers
- Demo: Infiltreren in de vitale infrastructuur van Nederland
- Secure Smart Grids (zonering, anomaly detection en SIEM)
De keynote werd verzorgd door Eric Luiijf van TNO. Deze nam ons mee door de geschiedenis, heden en toekomst om antwoord te geven op de vraag ‘Hoe veilig is IT in Nederland’. Dit was tevens het thema voor deze uitvoering van de Black Hat Sessions. Hij begon zijn verhaal met de vraag of het thema wel goed gekozen was. Want hoe kun je een dergelijke vraag beantwoorden? Hebben wij het namelijk over Nederland of over een groter gebied? Cyber is namelijk alles omvattend. En kan men wel ‘veilig’ meten en derhalve een antwoord geven op deze vraag?
Hiervoor kregen wij een korte geschiedenisles. Zoals over de eerste cyberaanval. Deze vond plaats tussen 1970 en 1973. En het eerste bekende computervirus stamt uit 1971. Maar blijkbaar leren wij niet van het verleden en blijven dit soort zaken mogelijk. In 1978 zijn er meer dan 150 buffer overflows verwijderd uit een besturingssysteem. Anno 2015 zijn er nog steeds legio buffer overflows.
Onbewust onbekwaam
Uit zijn verhaal komt dan ook duidelijk naar voren dat diegenen die momenteel verantwoordelijk zijn voor it, onbewust onbekwaam zijn. Deze personen zijn niet opgeleid om de papieren verantwoordelijkheid in de praktijk ook te nemen. Maar ook de technische partners die oplossingen bedenken en implementeren, zijn onbewust onbekwaam op het gebied van beveiliging. Dit gebeurt met name veel in de industriële automatisering. Er wordt gevraagd om functionaliteit en die wordt geleverd zonder goed na te denken over beveiligingsvraagstukken. Luiijf toont dan ook een kaart van Nederland met daarop onbeveiligde installaties die rechtstreeks aangesloten zijn op het internet. Dit is een zorgwekkend aantal.
Dit werd bevestigd in de sessie ‘Vulnerability inheritance in Dutch controllers’ van K. Reid Wightman die hier met zijn bedrijf juist in is gespecialiseerd. In zijn verhaal over de onveiligheid in de controller systemen (plc), vertelde hij dat daar vanuit de markt niet of nauwelijks op wordt gereageerd. Hierdoor lijkt dit meer op dweilen met de kraan open.
Functionaliteit boven beveiliging
Luiijf en Wightman geven beiden dan ook aan dat de hele keten alleen vraagt om functionaliteit en niet bezig is met de beveiliging hiervan. Vaak wordt dit vergeten of zelfs bewust niet gedaan omdat er een onderdeel is dat er niet mee kan omgaan, of de bruikbaarheid in het gedrang komt. Bruikbaarheid staat altijd bovenaan, en beveiliging komt later… als het al komt. Vooral met de Internet of Things (IoT) lijkt de beveiliging helemaal niet te komen, want beveiliging is niet ‘fun’. En dat lijkt het doel te zijn van de Internet of Things.
Voor de toekomst ziet Luiijf dan ook uitdagingen, zeker wanneer wij steeds meer afhankelijk worden van online functionaliteit. Hij toonde een mooie krantenkop uit de (nabije) toekomst: ‘De snelweg hacker sloeg weer toe’, ‘Grote file op de snelweg nadat auto’s spontaan naar rechts stuurden en tot stilstand kwamen…’.
De conclusie van Luiijf over het antwoord op de vraag ‘Hoe veilig is IT in Nederland’ is dat we denken dat we nog steeds veilig zijn, maar dat de werkelijkheid is dat het met de dag onveiliger wordt. Dat we niet alleen naar Nederland moeten kijken, maar veel ruimer. De aanvallen en gebeurtenissen vinden steeds vaker vanuit het buitenland plaats. Ook moeten wij fundamenteel anders gaan werken. Wij moeten mensen opleiden om eerst naar de beveiliging te kijken en hen bewust te maken dat dit nodig is. Daarnaast moeten wij de hele beveiliging van voor tot achter in kaart hebben én onderhouden.
Hackingdemo en IT bij een energieleverancier
Veel mensen werden zich wel bewust dat er dingen anders moeten worden gedaan door de demo die werd verzorgd door Madison Gurkha. Daniël Dragičević liet zien hoe kinderlijk eenvoudig het is om met gebruik van publiek beschikbare tools, een systeem over te nemen. En dit liet hij zien op een volledig gepatcht systeem met actieve antivirus en firewall. Van een medewerker die aan het werken is in een lunchroom tot het verlies van Research & Development informatie in een aantal simpele stappen. De verbazing vanuit het publiek sprak boekdelen.
De sessie erna werd minder druk bezocht, maar was zeker niet minder interessant. Erwin Kooij vertelde over zijn werk bij Liander en hoe zij het energie netwerk veilig houden. Ook hier wordt steeds meer techniek toegepast en zijn wij steeds afhankelijker van techniek. Kooij reageerde in zijn sessie op uitspraken van Luiijf in de keynote. Luiijf had in zijn keynote namelijk verteld over de risico’s van slimme meters. Hij vertelde dat mensen in Amerika al plug-ins hadden gemaakt die hele tikken als halve tikken registreerden. Hackers hadden de meters bovendien al op afstand uitgeschakeld, zei hij. Kooij reageerde hierop door te zeggen dat dit met de meters in Nederland niet mogelijk is, aangezien de schakelaar om deze uit te schakelen fysiek niet in de meter aanwezig is. Dit is een afspraak tussen netbeheerders in Nederland. Maar ook in dit verhaal werd duidelijk dat iets basaals als leveren van stroom heel erg onderhevig is aan de grillen van de nieuwe technieken en ons gebruik ervan. Als er een nieuw patroon lijkt te zijn, is het al weer veranderd.
Al deze sessies waren in mijn ogen erg aan elkaar gerelateerd en richtten zich op de gebruiker en functionaliteit met de gevolgen.
Nationale Wasstraat
Een heel ander verhaal was de sessie van Alex Bik over de techniek achter de anti-DDoS wasstraat. Deze siessie ging over een groep van meer dan honderd providers die samen de zorgplicht nemen om hun klanten te beschermen tegen DDoS-aanvallen. DDoS-aanvallen komen namelijk steeds vaker voor en door het grote aantal botnets worden ze steeds goedkoper en makkelijker om uit te voeren. Het is dus heel interessant om aan jouw internet providers te vragen of zij aangesloten zijn op de nationale beheersorganisatie internet providers (NBIP). Deze stichting heeft namelijk de Nationale Wasstraat (NaWas) opgericht om internet verkeer te filteren en alleen legitiem verkeer door te laten naar de eindgebruikers. Hierdoor wordt het steeds lastiger om bedrijven te raken met een DDoS-aanval. Met 960 Gbps kunnen ze heel wat verkeer wassen en wordt het steeds nuttelozer om DDoS-aanvallen uit te voeren.
