Reehorst in Ede was vorige week (29 juni) de place to be voor een schare aan security-vakbroeders. Zij maakten dankbaar van de mogelijkheid gebruik om zich te laten inspireren door de sprekers en workshops op de vijftiende Black Hat-bijeenkomst, georganiseerd door Madison Gurkha.
Na een hartelijk welkom, het omhangen van de deelnemersbadge, het begroeten van bekenden en de gebruikelijke koffie met stevige koek werd iedereen verzocht plaats te nemen in het pluche van de theaterzaal. De dag begon met een de introductiespeech van Dirk Jan van den Heuvel, sinds januari de managing director van Madison Gurkha, die de aanwezigen uitleg gaf over het programma. En aanwezig waren ze; met ruim 350 deelnemers was de grote theaterzaal tot de nok gevuld.
Presentatie William R. ‘Bill’ Cheswick
De eerste spreker was William R. ‘Bill’ Cheswick, ook bekend als Ches, co-creater van een van de eerste netwerkfirewalls ter wereld. Ches, uiteraard in shorts op het podium, staat bekend om zijn vroegere werkzaamheden in internetbeveiliging, waaronder firewalls, proxies en als medeauteur van het eerste volledige boek over firewalls. Hij is ook bekend om zijn werk in visualisaties, met name netwerk mapping, die wijd gepubliceerd zijn.
Zijn presentatie bevatte prehistorische data, oude data, data-analyse, lekkende data, big data, nepdata, gelabelde data, publieke data, lucratieve data, persoonlijke data, databeveiliging, langetermijndata en anonieme data.
Na zijn foto de wereld in te hebben getwitterd met #BHSXV kon ik mij concentreren op de inhoud van zijn presentatie. Hij sprak over AI en stemherkenning waarbij hij vertelde helemaal weg te zijn van ‘stroepwaffels’ – en liet dit woord analyseren en uitspreken door een applicatie waarvan ik de naam vergeten ben. Vervolgens werd ik door hem in de hoek gezet met de opmerking: ‘If Basic was the first programming language you learned, you are damaged for life’. Dank je wel, Ches.
Naast firewalls is Ches bekend van het mappen en vervolgens visualiseren van netwerken waar hij met veel voorbeelden liet zien dat dit in die tijd een openbaring was voor velen, en ook voor hemzelf. Hij vertelde: ‘I pinged a US nuclear submarine, and realized this six months later…’
‘What does it look like to win in security?’
Ches vertelde het T-Ford-verhaal: ‘Hey, we have a car, let’s use it!’ Zonder om te kijken naar veiligheid. Oudere aanwezigen herinnerden zich de volgende story waarmee hij kwam: ‘When my father drove the car and used the brake, he always used his right arm to protect my mother from smashing into the front window.’ Zo was het ook met internet: ‘Hey, we have an internet, let’s start using it’.
Managementtrack: privacy en ethiek
Na de keynote speaker werden er in twee stromen tracks verzorgd; ik maakte de keuze voor de managementtracks. Tijdens de eerste track sprak Rachel Marbus, privacy officer KPN.
Bij het werken met data willen we de wet naleven. Wij beschouwen de verwerking van persoonsgegevens. Dit moet volgens de regels in de Wet bescherming persoonsgegevens (en komend jaar met de regelgeving algemene gegevensbescherming, AVG) worden uitgevoerd.
De titel van Marbus’ bijdrage: ‘Privacy en ethiek, de rode of de blauwe pil?’ De prangende vraag: How to run a business, make money, care about privacy, and stay in the right lane. Marbus: ’We zijn hypergefocust op privacy en verliezen het zicht op het grotere plaatje.’
Marbus gebruikte een soort van Gartner-kwadrant met in elk kwart een ‘richting’, te weten:
1. Wettelijk toegestaan, maar niet oké
2. Wettelijk toegestaan en oké
3. Wettelijk niet toegestaan maar oké
4. Wettelijk niet toegestaan en niet oké
Van elk kwart gaf ze voorbeelden uit de praktijk die indringend overkwamen en impact hadden op de emotie van de toehoorders.
In een poging een deel van haar presentatie te streamen op Twitter, vergat ik een # mee te geven. Zoeken op #streamBHSXV brengt u bij de stream maar of u er blij mee bent… De slotopmerking van Rachel: ‘Stop focussing on the details, zoom out!’
Managementtrack: physical pentesting
In deze lezing liet Walter Belgers, principal security consultant Madison Gurkha, een aantal technieken en trucs zien om langs de deuren en sluizen te komen met het uiteindelijke doel om fysieke toegang tot it-infrastructuur te krijgen. Als een aanvaller gewoon in je computerruimte kan komen, wordt de toegang tot de gegevens op je systeem gemakkelijk gemaakt. It’ers hebben normaal gesproken geen fysieke beveiliging nodig, want dat is de verantwoordelijkheid van een andere afdeling. ‘Na deze presentatie zult u hopelijk fysieke gebreken kunnen opsporen om ze te verhelpen.’
Ik heb met open mond zitten kijken en nooit beseft dat sommige beveiligingen van ramen en deuren alleen schijnveilig zijn en binnen twee minuten zijn te omzeilen. De meest simpele manier om te proberen binnen te komen is via de receptie bij de ingang. Een goede vermomming als lift- of cv-monteur, of als controleur van het schoonmaakbedrijf doet wonderen. Dit is te gemakkelijk voor Walter en daarom nam hij ons mee naar de rokersdeur, de nooduitgangen en de draai- kiepramen waarvan hij met filmpjes liet zien hoe kinderlijk eenvoudig dit te ‘kraken’ is om vervolgens binnen te stappen.
Veel nuttige tips door de vele voorbeelden die werden gegeven.
Managementtrack: new sheriffs in town
John Fokker werkt als digitaal teamcoördinator bij de National High Tech Crime Unit (NHTCU), de Nederlandse federale politie-eenheid die zich toelegt op het onderzoek naar geavanceerde vormen van nationale en internationale cybercriminaliteit. Hij is projectleider voor het NoMoreRansom-initiatief.
In de presentatie gaf John interessante informatie over dit project. Hoe is het No More Ransom-initiatief begonnen en gegroeid van een one-hit wonder naar een wereldwijde beweging om Ransomware te bestrijden. Zie www.nomoreransom.org.
De uitdaging voor THTC (en ander overheidscyberorganisaties): het is moeilijk om gekwalificeerd personeel te krijgen en te houden.
Managementtrack: the future is false positive
De toekomst zal inderdaad ‘false positive’ zijn. In zijn presentatie deed Hans de Zwart, executive director Bits of Freedom, drie dingen:
- We keken naar een paar zorgwekkende (en soms grappige) recente voorbeelden van false positives: een persoon met de ziekte van Parkinson, die wordt verdacht van het opblazen van een bus, een politieagent die wordt geïdentificeerd als een inbreker en een zwarte persoon die als gorilla wordt geclassificeerd. Voorbeelden zoals deze kunnen worden geïnterpreteerd als ‘zwakke signalen’ van een toekomst waarin onjuiste oorzaken en onjuiste beschuldigingen voorkomen
- Identificeerde een aantal van de oorzaken van dit probleem: angst als een motivator voor beleidsvorming, of een veranderende houding ten aanzien van risico’s en, belangrijker nog, een drastische toename van het aantal besluiten die door computer algoritmes worden genomen.
- Verkende enkele praktische strategieën die we zouden kunnen implementeren om het aantal false positives te verminderen en de schade te minimaliseren.
Madison Gurkha had een uitgebreid interview met Hans de Zwart voorafgaande aan zijn presentatie. Klik hier om het te lezen. De boodschap van De Zwart: ‘Please, look at people as human beings, not as machines.’
Workshops
- Hands-on hacking workshop Raspberry Pi
Tijdens deze workshop lieten we u zien hoe een Raspberry Pi als aanvalsplatform is te gebruiken om wachtwoorden te ontvangen, backdoors te installeren, datastromen te sniffen en netwerkverkeer te controleren.
- PGP Key Signing Party
Tijdens deze BHS-editie organiseerde Madison Gurkha ook een PGP Key Signing Party. Een key signing party is een samenkomst van mensen die het PGP-encryptiesysteem gebruiken met het doel om die mensen hun sleutels te laten ondertekenen, waardoor het web van vertrouwen wordt versterkt.
- Keynote (slot)
Het programma werd afgesloten door een keynote van Brigade-generaal Hans Folmer, commandant DCC (Dutch Armed Forces Cybercommand). De DCC draagt bij aan militaire operaties met cybercapaciteiten om de vrijheid van manoeuvre in de informatie omgeving te realiseren. Tijdens zijn keynote gaf hij uitleg over wat dit betekent. Doordat hij de mogelijkheid gaf om veel vragen te stellen tijdens de presentatie moest hij op een bepaald moment de ‘catchbox’ de zaal ingooien. Dit ging de eerste keer niet helemaal goed omdat de box met militair geweld hoog in de coulissen terechtkwam en daar tegen een spotlight uiteen spatte en vervolgens midden in het publiek terechtkwam. Maar ja, de box was blauw en niet legergroen en ruggedized.
Enkele uitspraken en toelichtingen;
Wat is een cyberoorlog?
– Een (cyber)oorlog is een gewapend conflict wat aan voorwaarden moet voldoen om ‘oorlog’ genoemd te worden;
– Staat tegen staat, voortzetting van politiek met geweldsmiddelen
– Slachtoffers/gewonden/doden
– Vernietiging/schade aan infrastructuur ed.
– Overheid verklaart ‘de oorlog’.
(Zie ook http://www.sociosite.org/cyberoorlog.php.)
We kunnen het niet alleen, we zijn constant op zoek naar partners en geallieerden.
Na deze presentatie werd de dag afgesloten door Dirk Jan van den Heuvel en konden de toen nog steeds 320 aanwezigen naar de afsluitende borrel. Madison Gurkha, bedankt voor wederom een geslaagde Black Hat-dag.