Namens Computable mocht ik deelnemen aan het Black Hat Sessions congres met als onderwerp Mobile (In)security. Dit congres werd voor de veertiende keer gehouden en de organisatie was in handen van Madison Ghurka, die alles uitstekend had verzorgd.
Het programma begon met de keynote speech van Aral Balkan, die een vurig betoog hield over Ethical Design. Voor aanvang van zijn keynote kon ik mij er weinig bij voorstellen, maar gedurende zijn strakke en uitstekende presentatie werd mij duidelijk wat hij ermee bedoelde. Hij vertelde over ‘Corpratocracy’ en hoe de Clouds, IoT-devices en Facebook de maatschappij bespioneren. Tevens kwam hij met oplossingen hoe ethical design in de praktijk kan worden vorm gegeven. Hierbij sprak hij over ‘Better’ en ‘Heartbeat’. Het verder samenvatten van zijn presentatie zou tekort doen aan zijn geweldige keynote en ik raad ook iedereen om de opname van zijn presentatie te bekijken.
De tweede keynote werd verzorgd door Daniel Bernstein (professor bij University of Illinois en TU Eindhoven). Hij presenteerde op een informatieve en begrijpelijke manier (ook voor ‘niet-technische’ aanwezigen) zijn drie ‘Crypto horror stories’. Uit deze korte ‘geschiedenisles’ bleek dat ‘Most crypto is not designed to resist serious attackers’.
Beide keynotes waren leerzaam, informatief en vermakelijk. Hetgeen veel beloofde voor de rest van het programma.
Non-technical track
Na de keynotes waren er drie ‘tracks’: technical, non-technical en een workshop. Zelf koos ik de non-technical track, omdat de meeste onderwerpen uit deze track mijn voorkeur hadden boven de technical track.
De eerste presentatie in de non-technical track had als onderwerp ‘Mobile App Security’ en werd verzorgd door Rob van der Veer van de SIG (Software Improvement Group). Op een zeer duidelijke wijze verklaarde hij aan de hand van de zeven zonden waarom mobile apps notoir onveilig zijn. Vooral het gebruik van de zeven zonden als kapstok werd door de meeste aanwezigen als zeer prettig en duidelijk ervaren. Persoonlijk ben ik van mening dat deze presentatie verplicht leesvoer moet zijn voor alle software ontwikkelaars en securityspecialisten. Ik raad ook iedereen aan om de opname van zijn presentatie terug te kijken.
De tweede presentatie werd verzorgd door Ralph Moonen, oprichter en directeur van ITSX. Hij verzorgde een informatieve sessie over enkele wireless protocollen zoals NFC, Z-Wave, Zigbee en Lora-Wan. Hierin ging hij in op de protocol zwakheden, implementatie zwakheden, gebruikers keuze, interoperabiliteit en inherente beperkingen van deze protocollen.
De derde presentatie in deze track werd gegeven door Marianne Korpershoek, partner en advocaat bij Louwers IP/Technology advocaten. In de 45 minuten durende sessie ging zij eerst in op de wet Meldplicht Datalekken en byod, om vervolgens ook de ‘tracking mobile devices in shopping areas’ toe te lichten. Na een duidelijke uitleg van de wet Meldplicht Datalekken verwees zij de deelnemers naar de bedrijven Madison Ghurka en ITSX voor het implementeren van een byod-policy. Tenslotte gaf zij een overzicht van de regelgeving met betrekking tot het onderwerp ‘mobile devices tracking in shopping areas’. Dit was een informatieve sessie.
De vierde en laatste sessie ging over ‘Testing the security of IoT-devices’ en werd verzorgd door Dirk Jan van de Heuvel, VP & executive director software/security van UL (Underwriters Laboratories). Gedurende deze sessie maakt Dirk Jan op een begrijpelijke manier duidelijk hoe het gesteld is met de huidige IoT-security en wat er moet worden gedaan om aan de toekomstige behoefte van veilige IoT-devices te kunnen voldoen. Het is de verwachting dat er in 2050 tussen de twintig en vijftig miljard IoT-devices actief zullen zijn. Uit zijn verhaal kwam naar voren dat er dringend behoefte is aan:
- More complete standards & guidelines for IoT-security
- Security evaluation processes
- Certification programs
Tenslotte gaf hij ook aan de er goede ontwikkelingen plaatsvinden met betrekking tot IoT-security, maar dat er nog veel werk moet worden verricht om alle devices een bepaalde minimum vereiste security standaard te geven, voordat zij operationeel gaan.
Keynote (slot)
Het programma werd afgesloten door een plennaire keynote van Kevin McPeak van Peak Security. In zijn presentatie met als onderwerp ‘The Tale of two Telco’s’, ging hij in op zijn ervaringen en lessons learned gedurende zijn carrière (o.a. bij twee Nederlandse telecombedrijven). In deze keynote kwamen ook enkele interessante statements naar voren zoals ’technology security is a financial problem’ en ’technology security exists to preserve shareholders value’. Kortom, genoeg ‘food for thought’ voor de afsluitende borrel.
Samenvatting
Gedurende dit congres ben ik tot de conclusie gekomen dat wij – als securityprofessionals – nog veel kunnen/moeten leren van onze ervaringen en fouten. In een aantal presentaties kwamen dezelfde ‘lessons learned’ naar voren, die helaas (nog) niet waren geleerd.
Ondanks het feit dat het een uitstekend georganiseerd congres was met zeer inspirerende sprekers en leerzame presentaties, heb ik het onderwerp ‘Mobile (In)security’ niet in alle sessies terug gezien. Dat is dan ook het enige minpuntje van een uitermate informatief en leerzaam congres. Mijn oprechte complimenten voor de organisatie (Madison Ghurka) en ik wil graag afsluiten met de aanbeveling dat iedere securityprofessional volgend jaar een dag moet reserveren voor de deelname aan de vijftiende editie van de Black Hat Sessions!
