Secura Black Hat Sessions 2018

Jeroen van Onselen
IT-securitybedrijf Secura hield op 14 juni in Nieuwegein zijn jaarlijkse securitycongres de Black Hat Sessions. Het thema was dit jaar 'Take control of your digital security', met tussen haakjes een waarschuwing voor wat er gebeurt als je dit niet doet: 'before someone else does!' We waren die junidag aanwezig en kunnen bevestigen dat Secura niet overdrijft met die toevoeging.

Al op het parkeerterrein van het NBC Congrescentrum in Nieuwegein wordt duidelijk dat de Black Hat Sessions ongekend populair  zijn. Het is zoeken naar een plekje met de auto, tussen de drommen bezoekers door die richting de entree wandelen. Ook binnen in de grote zaal is het druk: niet iedereen kan een stoel vinden. Maar dat is niet erg, want de onderwerpen die de revue passeren zijn zo boeiend en relevant dat voordat je het weet de dag er op zit. Het is onmogelijk om in een artikel alles mee te nemen wat er die dag is gezegd, dus wat volgt zijn de hoogtepunten. Dat betekent dat we noodzakelijkerwijs niet alles kunnen meenemen. Als je dit interessant vindt, moet je volgend jaar zelf gaan.

Ethical hacking

De dag begint met oudgediende in het hackeruniversum Adam Laurie. De Brit kijkt terug op 20 jaar ervaring in het wereldje en constateert dat de wereld van 2018 radicaal anders omgaat met ethical hackers dan die van 20 jaar geleden. ‘Hackers zijn niet meer de bad guy’, constateert stiff upperlip Adam Laurie. Ongelooflijk maar waar, in de bange begindagen van ethical hacking riskeerde je je baan als je een hackerconferentie bezocht. Dat is nu wel even anders, hoewel Laurie verzucht dat overheid en bedrijven hem en zijn vakgenoten nog niet serieus genoeg nemen. ‘Hoeveel van jullie denken dat het digitale paspoort veilig is?’, richt hij zich tot de zaal. Het blijft muisstil. Laurie knikt. ‘Mooi, ik denk het ook niet.’

Het is een thema dat meerdere malen per dag terugkomt. Ethical hackers zien het gevaar en melden dat aan de autoriteiten, die er vervolgens niets mee doen of te laat in beweging komen. Die autoriteiten kunnen overheden zijn, maar ook bedrijven en zelfs IT-bedrijven die beter moeten weten.

SSL niet veilig

Dat laatste zie je terug in de volgende lezing, die wordt gehouden door Ralph Moonen. Ralph bekleedt bij Secura de functie van Technical Director. Het is onthutsend en tegelijk ook wel een beetje verwacht, wanneer we hem horen vertellen dat veel van de hashes waar digitale certificaten hun security aan ontlenen niet veilig zijn. ‘MD5 is zo lek als een mandje’, vertelt hij ons in de daaropvolgende koffiepauze, waarna hij er zelfs voor pleit om MD5 maar helemaal uit de schoolboeken te halen. Op het podium maakt hij de zaal deelgenoot van een onderzoek naar de veiligheid van SSL-certificaten en Voice-over-LTE, gehouden door Secura. Via factorable.net slaagde het bedrijf erin om 113 non-valid SSL-certificaten te kraken. Allemaal 1.024 bit, en allemaal uitgegeven door de grote drie: Cisco, DLINK en NETGEAR. Let wel, we spreken hier over certificaten voor scholen, overheden en IT-bedrijven. Zoals het hoort, lichtte het bedrijf de bedrijven in. Zonder resultaat, want op NETGEAR na ondernam geen enkel bedrijf actie.

Voor de gemiddelde hacker is dat natuurlijk geen nieuws; die maakt gebruik van dit soort kwetsbaarheden. Helemaal onwetend van de tactieken is de verdediging gelukkig niet. Zo menen specialisten een patroon te zien waarbij de aanvallers gebruik maken van decoy-technieken. De digitale roofoverval op de Banco de Chile afgelopen maand is daar een schoolvoorbeeld van. Wat begon als iets dat leek op een malware-attack, bleek achteraf een decoy te zijn van de echte aanval, namelijk het plunderen van de bank via een SWIFT-attack.

Oorlogsstrategie

Attack en decoys zijn termen die je in oorlogsstrategie verwacht. Dat klopt, en zo benaderen de verdedigers tegen hackers het onderwerp tegenwoordig ook. Neal Conijn van SoSecure houdt een boeiend betoog over strategisch en tactisch denken door Red Teaming. Dat laatste is een term die rechtstreeks uit de krijgskunst komt (zie kader). Conijn legt uit dat het helaas zo werkt dat lessen soms de hard way worden geleerd. Zo heeft 9/11 de securitywereld veel geleerd. Achteraf zeggen experts van nu over die aanval dat ‘9/11 geen failure of the system was, maar een system designed for failure.’ Bij 1-op-1-security versus hacking gaat het allemaal over perceptie. De verdediging kampt met het  probleem van het onbekende: de kloof die er gaapt tussen de perceptie die je hebt van de werkelijkheid  en wat er ECHT aan de hand is. Take control door je er van te vergewissen wat er al bekend is, VOORDAT de hack plaatsvindt. Bewustzijn dus.
 

Roy Duisters van Secura benadert het probleem heel praktisch. Kijk verder dan tech en denk als een hacker. Wees bedacht op events waar veel mensen ineens je bedrijf binnenstromen die er normaal niet zijn. En bedenk dat hackers het ook over een andere boeg kunnen gooien. Soms kom als hacker aan je informatie door het te vragen, gewoon door je vraag netjes in te pakken. Er zijn er zelfs die op een congres of tijdens een presentatie een USB-stick stoppen in de laptop van de trainer of voorzitter! Dat kan tot grote problemen leiden als het notebook van de directeur is, of van HR.

Smart Buildings-target voor hackers

Van een heel andere orde is de categorie smart buildings. Elisa Constante van Security Matters waarschuwt haar gehoor dat dit soort gebouwen een target zijn voor hackers. Dat zijn ze als eerste om de functie en ten tweede vanwege de legacy-software. Om dat eerste toe te lichten, gebouwen als ziekenhuizen, scholen, datacenters en overheidsgebouwen spelen een sleutelrol in een gemeenschap of samenleving. En je komt er gemakkelijker in dan je denkt! De meeste datacenters zijn zo’n beetje een Ford Knox. Maar dan wel eentje met een thermostaat die op het web is aangesloten. Leuk dat IoT, maar in dit geval een regelrechte ramp. Elisa haar nuchtere advies? Sluit dat ding gewoon niet aan op het internet, waarom zou je? Wees je bewust van de gevaren van de IoT, door de dagvoorzitter ‘the Internet of Shit’ genoemd omdat het geen doen is om alles te beveiligen. Speaking of beveiliging, Elisa laat door middel van een filmpje zien dat de hallmark van de IoT, IP-camera’s, kwetsbaar zijn voor slimme criminelen. Sommige van haar toehoorders grinniken wanneer ze zien hoe hackers het beeld van de IP-bewakingscamera vervangen door een beeld naar keuze. Het is alsof je naar een aflevering van La Casa de Papel zit te kijken, maar helaas is dit echt.

Maak het hackers niet gemakkelijk

Nirvana Meratnia van de Universiteit van Twente erkent dat IoT voor veel problemen kan zorgen. De overheid doet wel haar best zaken te regulieren, maar maakt het er voor techbedrijven niet bepaald gemakkelijker op. De GDPR bijvoorbeeld, die staat bol van complexe, juridische formuleringen. Vertaal dat maar eens concreet naar je technische toepassingen die je op de markt wil brengen. Wat je wel kunt doen tegen hacking via IoT is bedacht zijn op praktische zaken als naamgeving van SSID. Maak het hackers niet gemakkelijk door je achternaam mee te geven; of je adres, woonplaats en bedrijf. Dat geldt al helemaal voor je AP. Je hoeft niet een heel snuggere hacker te zijn om op die manier te zien wie bij wie hoort, en wie waar is op welk moment.

Nederland als rolmodel

Mocht je nu als lezer denken dat we het in Nederland helemaal fout doen, dan hebben we goed nieuws. Dat doen we niet. Slotspreker van de dag is de baas van de cybersecurityafdeling van het ministerie van Veiligheid en Justitie, Michel van Leeuwen. Die begint wat somber door te vertellen dat de dreiging van hackers een permanente variabel is die niet meer zal verdwijnen. Bovendien is een land als Nederland kwetsbaar en heeft het veel te verliezen. We zijn als Nederlanders na de Amerikanen en Britten als nummer 3 op het internet vertegenwoordigd van de hele wereld (!) en staan op het gebied van online banking op de eerst plaats. Aan de andere kant kijkt de wereld toe hoe wij ons beschermen tegen hackers. ‘Nederlanders staan internationaal bekend om hun overlegcultuur’, oppert iemand uit de zaal als oorzaak.

Wie het weet, mag het zeggen. Wat wel duidelijk is, is dat ons land barst van het IT-talent. Het is redelijk save om te constateren dat we nooit helemaal gevrijwaard zijn van kwaadaardige hackers, maar we hebben in Nederland goede mensen achter de schermen werken die ons tegen dit soort groepen beschermen. En dat blijft niet beperkt tot de mensen van het ministerie van Justitie en Veiligheid of studenten en onderzoekers van onze technische universiteiten. Zo vertelt Michel dat zijn ministerie actief haar best doet om cybersecurityvaardigheden bij te brengen aan de jongsten in onze samenleving, kinderen op lagere scholen.


Er zullen altijd hackers zijn, maar je bent niet weerloos. Take control of your digital security, before someone else does.

Oorlogsstrategie

Red Teamings is een term die uit de wereld van oorlogsstrategie komt. Een Red Team is een team, een cel, soldaten dat de vijand nadoet. Dat doen ze om te testen hoe goed het aanvalsplan of de verdediging is. Op z’n Nederlands gezegd krijgt een Red Team het lek boven water. Een Red Team in een hacking-context is een groep ethical hackers die denkt als een echte groep criminele hackers. Door alles denkbaar los te laten op de te onderzoeken organisatie (of bedrijf) proberen ze gaten in de verdedigingslinie te vinden. Op Wikipedia staat dat een bedrijf als Microsoft met de regelmaat van de klok Red Teams aan het werk zet om zwakke punten in de verdediging van de marktleider te vinden.

Foto: http://www.martinhols.com/black-hat-sessions-2018

afbeelding van Jeroen van Onselen

Jeroen van Onselen | Redacteur

Bekijk alle artikelen van Jeroen