Op 17 juni 2014 heb ik Black Hat Sessions XII bezocht. De sessies werden druk bezocht, wat volgens mij ook een gevolg was van de marketing: de termen 'spionage' en 'inlichtingendiensten' zijn kennelijk erg wervend. Het aardige van deze Black Hat Sessions vond ik dat er gekozen kon worden voor een technische of een niet-technische track, voorafgegaan en afgesloten door een keynote-speech. Ik heb besloten om ’s ochtends de niet-technische stream te volgen en ’s middags de technische stream. Onderstaand een kort verslag van de sessies die ik bezocht.
Europarlementariër Marietje Schaak stelt in haar keynote-speech het gebruik/misbruik van internet en social media door autoritaire overheden aan de orde. Marietje Schaake is lid van een parlementarie delagatie voor relaties met Iran, vandaar dat ze vooral inging op de controle op social media door overheden in het Midden Oosten en het ‘halal’-internet van Iran. Dat halal-internet blokkeert nogal wat sites, na terugkeer van een bezoek aan Iran had Marietje ‘het gevoel, dat ik weer boven water kwam toen ik weer onbelemmerd het nieuws kon lezen’.
Na die opmerking vraag ik me af of we zo blij moeten zijn met een Europees internet, dat sommige politici graag willen. Gaan onze Europese veiligheidsdiensten ons dan nog beter in de gaten houden of mogelijk content verwijderen? Ik moet ook even denken aan de rellen in Londen van enkele jaren geleden toen de Britse overheid ook social media wilde blokkeren of aftappen, zoals overheden in het Midden Oosten doen.
Na haar speech komen vanuit de zaal vragen waaruit enige scepsis naar voren komt over de openheid en transparantie van de AIVD en de Commissie Stiekem, ‘onze’ toezichthouder op de eigen inlichtingendiensten.
Wouter Pieters
Wolter Pieters werkt aan een EU-project om de risk management-methodologie te verbeteren. Dat houdt vooral in dat wordt getracht een methode te ontwikkelen waarin explicieter en meer in detail wordt geanalyseerd en vooral gekwantificeerd, met als doel sneller en beter beslissingen te kunnen nemen. De huidige risicoanalysemethodiek is volgens Pieters te veel gebaseerd op brainstormen.
Wat apart in deze methodiek is dat het budget van de aanvaller het uitgangspunt is. Afgevraagd wordt wat dit doet met de methodiek als de prijs van ‘aanvalswapens’ omlaag gaat, wat in de echte wereld daadwerkelijk gebeurt. Ook vraag ik me af of opdrachtgevers een analist altijd de tijd gunnen om zo gedetailleerd te werken, het lijkt mij meer iets voor hele grote projecten.
Het lijkt me op zich een goede exercitie, maar echt nieuw is dit nu ook weer niet en zeker niet sec toepasbaar op cybersecurity. Geïnteresseerden kunnen dit project volgen door zich op te geven voor de maandelijkse nieuwsbrief via http://www.trespass-project.eu/Contact.
Ot van Daalen
Ot van Daalen is een van de oprichters van Bits of Freedom en nu advocaat bij Digital Defence. Van Daalen geeft een korte historie van cryptologie, benoemt een aantal highlights uit de ‘Snowden-files’ en concludeert tot slot dat de belangstelling voor security is toegenomen. Ik had deze presentatie niet nodig om dat te weten en aan het aantal vragen uit de zaal af te meten, veel andere aanwezigen ook niet.
Sander Degen
De migratie van IPv4 naar IPv6 gaat door en Nederland slaat met de voortgang geen slecht figuur binnen Europa. Om de risico’s van IPv6-implementaties te onderzoeken en te kunnen mitigeren, heeft het ministerie van Economische Zaken een project gefinancierd om de economische schade voor het bedrijfsleven te beperken.
In korte tijd benoemt Sander Degen een aantal risico’s die serieus genomen moeten worden. Gelukkig zijn er in de meeste gevallen ook tegenmaatregelen benoemd. In zijn presentatie worden ook een aantal best practices benoemd. Er zijn echter nog wel een aantal items waar nog geen afdoende tegenmaatregelen voor zijn. Interessante presentatie. Het beveiligingstestplan is beschikbaar en lijkt me handzaam als start voor een risicoanalyse binnen de eigen organisatie.
Job de Haas
Als inlichtingendiensten het onderwerp zijn dan weet je dat er over encryptie zal worden gesproken en dat deed Job de Haas met zijn presentatie ‘Spies and Secure Boot’. De Haas vertelt enthousiast hoe we onze data en onze devices kunnen beschermen tegen allerlei grijpgrage lieden en organisaties. Onze data moeten worden versleuteld en onze devices moeten we beveiligen met secure boot of het alternatief Trusted Platform Module (TPM). In de presentatie worden ook handvatten benoemd om tot een ‘echte’ TPM-situatie te komen. Een levendige presentatie met tal van vragen uit de zaal.
Wilma van Dijk
Directeur Cybersecurity van het NCTV, Wilma van Dijk, gaat in haar keynote-speech in op de taken van het NCTV en geeft aan dat Nederland een belangrijke rol wil spelen in de cybersecurity-wereld. Voor wie de pers een beetje heeft gevolgd is die ambitie niet echt een verrassing. Verder een uiteenzetting over ‘responsible disclosure’en het NCSC als meld- en alerteringspunt voor overheid en bedrijfsleven.
Tot slot
De opzet om te kunnen kiezen tussen een technische en niet-technische stream was op zich een goed idee. De niet-technische stream omvatte, voor wie de pers volgt, toch iets te veel bekende verhalen om te blijven boeien. Ik zou het logischer vinden als volgende Black Hat Sessions meer worden gericht op de technische stream, tenzij er voor de niet-technische stream onderwerpen en sprekers gevonden worden die uitstijgen boven algemeenheden c.q. wat iedereen had kunnen concluderen uit kranten en nieuwssites.
Fred Plooijer, zelfstandige op het gebied van informatiebeveiliging
