Black Hat Sessions part XIV - Het verslag

Update 28 – Het Verslag –September 2016

Op 23 juni jl. vond de veertiende editie van de Black Hat Sessions plaats. Hierbij doen we inhoudelijk verslag van de lezingen en geven we een impressie van de leuke en leerzame dag.

Black Hat Sessions Part XIV
Mobile (In)security

Donderdag 23 juni 2016 ging voor de veertiende maal de Black Hat Sessions van start. Het thema dit keer: Mobile (in)security. Een digitale wereld biedt volop ontwikkelingsmogelijkheden en vooruitgang op het gebied van technologie. Helaas geldt hetzelfde voor cybercriminelen, die continu innovatieve methodes gebruiken om slachtoffers te maken.

Meer dan 300 deelnemers kwamen deze dag bijeen om zich op een informele manier door nationale en internationale experts te laten informeren over de kansen en risico’s die mobiele technologie met zich meebrengt en met vakgenoten van gedachten te wisselen over dit onderwerp. Naast het uitgebreide programma met een technische- en een management-track konden de deelnemers zich inschrijven voor een interactieve handson hacking workshop. Heeft u de workshop moeten missen? Goed om te weten dat we de workshop op 11 oktober a.s. nogmaals aanbieden. Hieronder leest u een inhoudelijke samenvatting per lezing. Per spreker krijgt u de kans om een uitgebreider verslag én de integrale opname van de lezing te bekijken.

Met gepaste trots kijken we terug op een hele mooie veertiende editie van ons jaarlijkse security congres met interessante lezingen, een zeer goede sfeer en positieve reacties na afloop. Deze succesvolle Black Hat Sessions Part XIV is mede mogelijk gemaakt door de volgende sponsoren en media/kennispartners, waarvoor dank! MobileIron, Computable en Marqit, SIG, Global Knowledge, SCOS, Newitera, ITSX, TSTC, Louwers IP|Technology Advocaten, Dutch Cloud, NLUUG, Winmag Pro, PviB, Ngi-NGN, ISACA, NOREA, Certified Secure, AutomatiseringGids en Infosecurity Magazine.

Speciale dank gaat uit naar de sprekers van deze editie: Aral Balkan (Ind.ie), Daniel J. Bernstein, Victor van der Veen (VU Amsterdam), Rob van der Veer (SIG), Fabian van den Broek (Radboud Universiteit Nijmegen), Ralph Moonen (ITSX), Raul Siles (Dinosec / SANS), Marianne Korpershoek (Louwers IP|Technology Advocaten), Nikita Abdullin en Maurice Aarts (Riscure), Dirk Jan van den Heuvel (UL) en Kevin McPeake.

Who owns and controls the data? Keynote door Aral Balkan


Om 09.3Aral Balkan0 uur trapt ethisch ontwerper en digitale rechten activist Aral Balkan (Ind.ie) af met een inspirerende keynote. Met zijn bevlogen verhaal weet hij het publiek meteen te boeien. Aral wijst ons niet alleen op de informatieverslaving van grote bedrijven zoals Google en Facebook, maar legt ook de principes van Ethical Design uit. Deze principes zijn gebaseerd op de piramide van Maslow waarbij het idee bestaat dat ieder ontwerp moet worden opgebouwd uit drie lagen. Aan ieder ontwerp zou het respect voor de rechten van de mens ten grondslag moeten liggen, zoals het recht om data veilig te delen. Daarboven ligt het respect voor de gebruiker waarbij het gaat om gebruiksgemak en toegankelijkheid. In de bovenste laag ligt het respect voor de menselijke ervaring, dat inhoudt dat technologie verrijkend zou moeten werken. Alle lagen zijn nauw met elkaar verbonden en de bovenste laag werkt alleen als de lagen daaronder ook vervuld zijn. Klik hier voor het uitgebreide verslag en de integrale opname.

Crypto Horror Storries, Keynote door Daniel J. Bernstein

Daniel VerslagNa de eerste keynote volgt een vermakelijk verhaal over crypto door keynotespreker Dan Bernstein. Bernstein is hoogleraar wiskunde en informatica aan de Technische Universiteit Eindhoven en research hoogleraar aan de Universiteit van Illinois te Chicago. Aan de hand van drie crypto horrorverhalen deelt hij met het publiek de ‘lessons learned’. Hij staat hierbij uitgebreid stil bij het RC4-algoritme drama en alle problemen die dit met zich heeft meegebracht. Maar ook het principe van timing attacks wordt behandeld. Wat het zijn en hoe ze in het recente verleden gebruikt zijn en dus een echt veiligheidsrisico vormen. In zijn laatste horror story gaat Bernstein dieper in het op het gevaar dat aanvallers en kwantumcomputers vormen voor de veiligheid van encryptie. Klik hier voor het uitgebreide verslag.

 

How Google Just Killed Your Phone-Based Two-Factor Authentication, lezing door Victor van der Veen

In het volgende deel van het programma kunnen de deelnemers kiezen tussen een technische- en een management-track. Victor van der Veen, onderzoeker in de System and Network Security Group aan de Vrije Universiteit Amsterdam, gaat binnen de technische track dieper in op de hiaten in de beveiliging van Two Factor Authentication (2FA). Niet alleen legt hij uit wat 2FA precies is, maar ook welke methoden hij en zijn onderzoekspartner hebben gebruikt om de beveiliging hiervan te compromitteren. Aan de hand van duidelijke voorbeelden krijgen de aanwezigen een goed beeld van zijn recente onderzoek en wordt de ernst van de gevonden kwetsbaarheid al snel duidelijk. Klik hier voor het uitgebreide verslag en de integrale opname.

 

'De zeven zonden van veilige software' door Rob van der Veer

Rob van der Veer, principal consultant bij de Software Improvement Group (SIG), gebruikt tijdens zijn niet-technische track de zeven hoofdzonden om de grootste valkuilen op het gebied van veilig software schrijven onder de aandacht te brengen. Hij noemt hierbij mobiele apps als dieptepunt waarin alle zonden terug te vinden zijn. Gelukkig heeft Rob ook tips zodat we hier iets aan kunnen doen. Daarnaast geeft hij meer uitleg over het document “Grip op Secure Software Development (SSD)” dat SIG samen met verschillende andere organisaties heeft opgesteld. Hierin staan onder andere methoden om de eisen van software goed vast te leggen. Een must-read voor organisaties om grip te krijgen op het ontwikkelen van veilige software. Klik hier voor het uitgebreide verslag en de integrale opname.

IMSI-Catching, lezing door Fabian van den Broek

IMSI-catching komt aan bod tijdens de presentatie van Fabian van den Broek van de Radboud Universiteit. In zijn presentatie gaat hij hij uitgebreid in op wat IMSI-catching nu precies is en hoe je dit kunt gebruiken bij een Man in the Middle(MitM)-aanval. Daarnaast gaat hij ook dieper in op een methode die beveiligings- en privacy problemen zou kunnen mitigeren. Dit natuurlijk alleen wanneer het door de juiste organisaties wordt geïmplementeerd. Klik hier voor een uitgebreid verslag en de integrale opname van zijn presentatie.

 

 

 

 

Alles van waarde is draadloos, lezing door Ralph Moonen

Ralph Verslag

Binnen de management-track gaat Ralph Moonen oprichter en directeur van ITSX, in zijn presentatie dieper in op de protocollen die horen bij draadloze communicatie. Met name de relatief nieuwe beschikbare protocollen zoals ZigBee en NFC worden belicht. Nieuwe technologieën waar Ralph veel van verwacht, maar ook kanttekeningen bij plaatst. Sinds het ontstaan van het Internet of Things (IoT)-netwerk, is er nog niet één specifiek protocol aan te wijzen waarmee men binnen het IoT-netwerk relatief veilig kan communiceren. Ieder protocol heeft namelijk zijn eigen specifieke eigenschappen en kwetsbaarheden. Welke protocol het best gebruikt kan worden, is niet zomaar te zeggen. Ralph raad aan om eerst na te denken over de toepassing van het apparaat en de requirements in kaart te brengen, alvorens de keuze voor een protocol te maken. Klik hier voor het uitgebreide verslag en de integrale opname.

 

A Retrospective Security Review of Apple’s Mobile Ecosystem' door Raul Siles


Raul VerslagNa een inspirerende en leerzame ochtend, genieten de deelnemers van een uitgebreide lunch. Waarna iedereen om 14.00 uur weer startklaar zit voor het middagprogramma. De volgende presentatie van Raul Siles blijkt populair als we naar de volle zaal kijken. Raul Siles is oprichter en senior security analist bij DinoSec en gecertificeerd SANS-instructeur. Hij zal de techneuten onder ons verrassen met een dieptechnische lezing over iOS. Hoewel Apple het predicaat veilig heeft, laat Raul zien dat dit niet altijd het geval is. Zo toont hij aan hoe eenvoudig het is om door middel van een Enterprise Developer account een app te installeren buiten de appstore om; iets wat volgens Apple onmogelijk zou zijn. Ook laat Raul technieken zien waarmee apps zich kunnen verbergen voor de gebruiker, waardoor opsporing van malware bemoeilijkt wordt. Het publiek verlaat de zaal met weliswaar meer kennis, maar met een stuk minder vertrouwen. Klik hier voor het uitgebreide verslag en de integrale opname.

'Mobile (in)security and the law' lezing door Marianne Kopershoek

Marianne verslag

Marianne Korpershoek, partner en advocaat bij Louwers IP|Technology Advocaten, staat in de ‘managementzaal’ klaar om inzicht te geven in de juridische aspecten rondom het thema van deze editie. Ze gaat in op de toenemende mate waarin de bescherming van persoonsgegevens een rol speelt bij (mobile) security. De digitalisering heeft geleid tot een groei in het verzamelen van data. Aan de hand van voorbeelden uit de rechtspraktijk schets Marianne wat er zoal bij het verzamelen van deze data van belang is. Zowel de rechtspraktijk, als de steeds verdergaande stand van de techniek, zullen voor de nodige uitwerking en aanpassingen blijven zorgen de komende tijd. Alle reden om de ontwikkelingen goed te blijven volgen, tijdig advies in te winnen en de vereiste maatregelen te implementeren. Klik hier voor het uitgebreide verslag en de integrale opname.

Dirk-Jan van den Heuvel met Security of IoT Devices


Dirk-Jan verslag

Dirk Jan van den Heuvel is Divisie-Directeur Software & Security bij Underwriters Laboratories (UL). UL is verantwoordelijk voor de certificering van apparaten voor bijvoorbeeld brandveiligheid en elektrische veiligheid in de Verenigde Staten. Dirk Jan benadrukt in zijn presentatie dat veiligheid nog onvoldoende aandacht krijgt als het gaat om Internet of Things. Dit heeft voornamelijk te maken met de verschillende technologieën en standaarden die er in gebruik zijn en de samenwerking hiertussen. Maar er is beterschap beloofd. Het Department of Homeland Security in de Verenigde Staten heeft UL benaderd om in een samenwerkingsverband het “Cyber Security Program” op te richten met als doel het certificeren en testen van IoT-apparaten. UL wil uiteindelijk deze standaard open source maken. Klik hier voor het uitgebreide verslag en de integrale opname.

 

'Mobile Payment Security' door Maurice Aarts en Nikita Abdullin

Maurice verslag

Maurice Aarts en Nikita Abdullin, beide securityanalist bij Riscure, verzorgen om 14.45 uur een duo-presentatie over Mobile Payment Security. Ze gaan hierbij uitgebreid in op de evolutie van Near Field Communication (NFC)-transacties en de beveiliging van Android-applicaties die met deze draadloze communicatiemethode te maken hebben. Niet alleen het beveiligingsaspect, maar ook mogelijke aanvallen en de tools die aanvallers hierbij kunnen gebruiken, worden uitgebreid besproken in deze technische lezing.

Klik hier voor het uitgebreide verslag en de integrale opname.

 

 

 

 



The Tale of Two Telcos, keynote door Kevin McPeake

Kevin verslag

Om 16.00 uur hebben alle aanwezige deelnemers plaatsgenomen in de grote zaal voor de afsluitende keynote van Kevin McPeake. Kevin is in de afgelopen twintig jaar actief geweest als expert op het gebied van telecom en IT Security. In zijn presentatie “The Tale of Two Telcos (and when security professionals turn on their own)” vertelt hij een persoonlijk verhaal over hoe hij de organisatiestructuur bij twee Telco’s heeft ‘gehacked’. Hij gaat daarbij niet alleen in op het ‘waarom’, maar besteed ook aandacht aan de risico’s die dit met zich meebracht. Echter, Kevin zou zijn verhaal hier niet verteld hebben wanneer het geen succes was geweest. De voordelen die zijn acties hebben gebracht zijn wijd verspreid. Kevin wil met zijn verhaal aangeven dat er nog een hoop winst te behalen valt bij organisaties. Klik hier voor het uitgebreide verslag en de integrale opname.

 

 

 

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa