Dinsdag 22 januari werd het Open IT Security event gehouden in de Koninklijke Bibliotheek. Een congres dat door vrijwilligers georganiseerd werd en voor iedereen toegankelijk was die wat meer wil weten over beveiliging. Met gevarieerde onderwerpen, aansprekende sprekers en gratis toegang was het ook absoluut de moeite waard. En er liepen niet alleen maar nerds rond in Linux t-shirts, de pakken waren zelfs ruim (over)vertegenwoordigd.
Keynote Henk Krol
Met die 50-plussers is het hack van de dam
De eer om te openen viel ten beurt aan de fractieleider van 50PLUS, niet echt het prototype van een hacker. Toch mag Henk Krol zich voor een meervoudige strafkamer verantwoorden voor het lekken van medische gegevens. De keynote ging echter niet alleen over de hoe en wat maar vooral de waarom, welke rol volksvertegenwoordigers hebben in het verbeteren en beschermen van de privacy van de burger. Want de wijze waarop de misstanden bij het Brabantse bloedlab Diagnostiek in eerste instantie afgedaan werden is geen incident.
Brenno de Winter – Fundamentele bezwaren bij de cybersecuritystrategie
De noodzaak van bronbescherming bij data openbaring
Ook Brenno de Winter is als journalist namelijk bekend door spraakmakende openbaringen van lekken. Hij ging in zijn verhaal vooral in op de wijze waarop met deze bekendmakingen en de bekendmakers van beveiligingsproblemen omgegaan wordt. Hierbij stelde De Winter verwijtende vragen over rol van NCSC, de rechtsongelijkheid en trok hierbij zelfs een vergelijk met de film ‘Das Leben der Anderen’. Hij luidde in zijn presentatie dus vooral de klok over de ronduit slechte bescherming van klokkenluiders en het gebrek aan transparantie.
Arda Gerkens – Veiligheid en privacy
Meldpunt tegen boeren met persoonsgegevens
HCC-directeur en oud-parlementariër Arda Gerkens wees op de vele webformulieren die vaak onnodig veel persoonlijke informatie vragen. Hoewel deze gegevens onder de wet bescherming persoonsgegevens vallen is beveiliging vaak slecht geregeld. Zo wordt er informatie gevraagd zonder een geldige reden en wordt lang niet altijd gebruik gemaakt van een beveiligde verbinding. Verder maakte ze ook bekend dat HCC hiervoor een meldpunt heeft ingericht.
Chris Nickerson – Tactical Surveillance: Look at me now!
Omgekeerde vormen van business intelligence
Hoewel Chris Nickerson iets verlaat was maakte hij het wachten met zijn presentatie meer dan goed. De ceo van Lares liet namelijk zien wat er allemaal mogelijk is met het rechercheren in open bronnen. Het ‘big data’-walhalla voor de hacker (of de bedrogen echtgenoot). Naast de mogelijkheden van sociale media voor social engineering liet hij ook nog zien welke andere surveillance apparatuur in elkaar geknutseld kan worden met onderdelen van de RadioShack of HobbyKing. Spioneren kan dus duidelijk ook met een kleine beurs en is daarmee niet alleen voorbehouden aan overheden.
Matthijs Koot – Hoe anoniem is anoniem?
Wetenschappelijk bewijs dat de anonimiteit in Amsterdam groter is dan op Terschelling
Het opvragen van informatie uit de GBA van zestien gemeenten door Matthijs Koot voor onderzoek leidde tot kamervragen. Hoewel het om 2,7 miljoen burgers ging, waren het echter alleen ‘anonieme’ gegevens zoals postcode, leeftijd en geslacht. Dat uiteindelijk met deze quasi identifiers, zeker in kleine gemeenten, de persoon geïdentificeerd kan worden is iets om rekening mee te houden bij het anonimiseren van bijvoorbeeld medische gegevens of beantwoorden van enquêtes.
Bart Drewes – Werken aan de digitale veiligheid
Hoe belangrijk vinden gemeenten de digitale veiligheid van burgers
Als informatiekundige werkt Bart Drewes bij de Vereniging Nederlandse Gemeenten en vertelde over de problemen met DigID en andere uitdagingen in de informatiebeveiliging bij gemeenten. VNG heeft hier lering uit getrokken en per 1 januari de informatiebeveiligingsdienst opgericht die bekostigd wordt uit het gemeentefonds. Doel is vooralsnog om bewustzijn te vergroten, hoewel een groot aantal gemeenten het beschermen van gegevens blijkbaar nog niet op de agenda heeft staan.
Iftach Ian Amit – Sexy Defense
De aanval is de beste verdediging
De directeur van IOactive, Iftach Ian Amit, begon zijn verhaal met een mooi vergelijk van middeleeuwse oorlogsvoering. Een toepasselijke metafoor als we ons passief blijven verschuilen achter de (vuur)muren en aanvallen afwachten. Actieve bescherming vereist ook niet alleen verkenning maar net zo goed defensieve aanvallen door bijvoorbeeld de hacker te hacken. Maar de vraag hierbij is, net als bij het beschermen van je huis, wat allemaal toegestaan is.
Tot slot
Hoewel alle presentaties natuurlijk ondersteund werden door bijpassende praktijkvoorbeelden heb ik me met bovenstaande hopelijk tot de kern van de informatie beperkt. Verder waren er ook interessante ‘wandelgang’-discussies waarbij de hier verkregen informatie natuurlijk onder de insiders blijft. Bij deze wil ik ook de vrijwilligers bedanken voor het mogelijk maken van dit event en de sponsoren om het te bekostigen.
En langzaam komen er ook presentaties beschikbaar: http://www.scribd.com/doc/121779795/Tactical-Surveillance-Look-at-me-now
Thnx Ewout voor dit leuke en leerzame verslag. Ik zie de presentaties graag van je tegemoet komen.
Misschien leuk en handig voor de redactie om deze nog aan het verslag toe te voegen.
Hoewel het de bedoeling is om alle presentaties op http://alt-s.nl/ beschikbaar te maken hier nog 1: http://www.slideshare.net/iamit/sexy-defense
Ewout,
Mooi werk, nuttige informatie binnen de juiste kaders van een verslag. Ik waardeer het zeer dat je dit verhaal neutraal en met een brede kijk opgesteld hebt. En ook zeer aangenaam om dit verhaal te lezen zonder dat ik het gevoel krijg dat je je als verlengsnoer van een leverancier (Microsoft, Redhat, Linux etc) heb laten gebruiken. Wacht maar tot “Like” button aan de site toegevoegd is! Je krijgt alvast van me (volgens Facebook-taal)een (Y)
Leuk geschreven, leest lekker weg en geeft een indruk en wat haakjes er meer over te lezen. Thanks!
Presentatie Mattijs Koot – Hoe anoniem is anoniem
http://www.alt-s.nl/presentations/Matthijs_Koot_Hoe_anoniem_is_anoniem_Alt-S_2013.pdf
En de presentatie van Bart Drewes – Werken aan digitale veiligheid
http://www.alt-s.nl/presentations/Bart%20Drewes_Werken_aan_digitale_veiligheid_Alt-S_2013.pdf