Black Hat Sessions Part XIII - Hoe veilig is (IT in) Nederland?

Update 25– Het Verslag – augustus 2015

Op 18 juni jl. vond de dertiende editie van de Black Hat Sessions plaats. Hierbij een kort verslag door medewerker Matthijs Koot, op basis van enkele van de lezingen die hij heeft bijgewoond.

 

Op verschillende momenten in de lezing was er een “dit kan niet wáár zijn”-momentje 

Deze dertiende editie van de Black Hat Sessions stond in het teken van het thema “Hoe veilig is (IT in) Nederland?” Op 18 juni jl. kwamen bijna 400 geïnteresseerden naar het congrescentrum de Reehorst in Ede om zich te laten informeren en met vakgenoten van gedachten te wisselen over de ontwikkelingen op het gebied van digitale veiligheid.

Hans de Vries, NCSC, tijdens de Black Hat Sessions 2015

Verschillende nationale en internationale sprekers gaven tekst en uitleg over onder andere de vitale Nederlandse infrastructuur, DDoS-aanvallen, SCADA-systemen, ERP-systemen en Industrial Control Systems (ICS). De keynotes werden dit jaar verzorgd door Eric Luiijf van TNO en Hans de Vries van het Nationaal Cyber Security Centrum. Naast het uitgebreide programma met een technische en een management track konden de deelnemers zich bovendien inschrijven voor een interactieve hands-on hacking workshop en tijdens de lunch werd een heuse PGP keysigning party georganiseerd. Vanuit Madison Gurkha mogen we terugkijken op een zeer geslaagde, informatieve dag met volop interactie tussen de deelnemers en veel positieve reacties. Matthijs Koot, senior security consultant bij Madison Gurkha, heeft de dag als toehoorder bijgewoond en doet hierbij kort inhoudelijk verslag van enkele van de lezingen die hij heeft bijgewoond. Inmiddels zijn er meerdere publicaties verschenen over deze editie. Deze vindt u in de kennisbank.

Keynote Eric Luiijf
Eric Luiijf (TNO) deed in zijn openingslezing, met een voor IT-begrippen verre terugblik op de geschiedenis, de toch wat wrange constatering dat good practices die reeds in de 60s/70s ontstonden, anno 2015 nog steeds massaal niet worden opgevolgd --- denk aan gebrekkige invoervalidatie. Hij vroeg het publiek in welk jaar het bericht ‘Chantage om gegevens uit computer’ op de voorpagina van de Telegraaf stond: dat bleek 1977. Luiijf wijdde na een analyse van de situatie vandaag ook uit naar wat we mogelijk kunnen verwachten met opkomst van (wat wordt vermarkt onder het paraplubegrip) Internet of Things. Een belangrijke stap voor verbetering ziet Luiijf in het komen tot een wetenschap van cybersecurity, zoals de Amerikanen (NSA) en Britten (GCHQ) thans nastreven via samenwerking met en tussen universiteiten --- ten minste de universiteiten die in deze als ‘Center of Excellence’ zijn gekwalificeerd. Vooralsnog, zo wordt duidelijk uit Luiijf’s lezing, blijft te verwachten dat functionaliteit belangrijker wordt geacht dan veiligheid, laat staan privacy. Zie ook het diepte-interview met Eric Luiijf.

Teun van Dongen - De rol van IT in terrorisme(bestrijding)
Na de eerste keynote volgt de managementlezing van Teun van Dongen (zelfstandig analist en spreker) over de rol van IT en inlichtingen in terrorisme en terrorismebestrijding. Bijvoorbeeld in de vorm van grootschalige gegevensverzamelingen. Van Dongen maakte duidelijk sceptisch te zijn over de neiging van inlichtingendiensten om steeds meer data te verzamelen (‘we zijn in het Westen een beetje aan het doorschieten’), en meer te zien in analyse op basis van combinatie van bestaande bestanden. Dat standpunt onderbouwde hij onder meer met een analyse van bekende casuïstiek van personen die zijn gepakt na of tijdens het voorbereiden van aanslagen, waarbij veelal bleek dat ze reeds in bestanden voorkwamen. Ook gaf Van Dongen voorbeelden van hoe aanslagen worden verijdeld via totaal andere wegen, zoals een jihadistische cel in Londen die nogal op is gaan vallen door confrontaties met extreem-rechts.

K. Reid Wightman - Vulnerability Inheritance in Dutch Controllers
Reid Wightman (directeur Digital Bond Labs) gaf na de eerste koffiepauze in een uitpuilende zaal een technische lezing over zijn werkzaamheden op het gebied van reverse engineering van ICS/SCADA-systemen, in het bijzonder de CoDeSyssoftware die onder meer in Europa wordt gebruikt. Op verschillende momenten in de lezing was er een “dit kan niet wáár zijn”-momentje. Bijvoorbeeld daar waar een combinatie bestond van een ernstige kwetsbaarheid die via een computernetwerk op afstand kan worden uitgebuit en waarvoor een patch ontbreekt c.q. traag en moeizaam beschikbaar komt van een vendor. Wightman’s lezing was een uitstekende opfrisser en heeft zonder twijfel bijgedragen aan het bewustzijn onder de toehoorders.

Samaneh Tajalizadehkhoob - Reputation metrics for TLDs and hosting providers
Samaneh Tajalizadehkhoob (promovenda bij TU Delft) lichtte na de lunch in haar managementlezing het lopende wetenschappelijke onderzoek ‘REMEDI3S-TLD’ toe, dat is gericht op het in kaart brengen van (on)veilig gedrag van, bijvoorbeeld, hosting- en DNS-providers binnen een (cc)TLD. Het onderzoek komt voort uit een vraagstelling van de Nationale Politie (‘wie zijn de slechtste hostingproviders in onze jurisdictie?’) en heeft een focus op de Nederlandse ccTLD (.nl). Eén van de kernproblemen in het onderzoek is het opzetten van betekenisvolle metrieken, en het compenseren voor eventuele onzuiverheden daarin. Er wordt onder meer gekeken naar het aantal URLs en het aantal domeinnamen waarop malware actief is of is geweest, en hoe lang. De beschikbaarheid van data voor dit onderzoek is een knelpunt; een constructieve oplossing vraagt medewerking van providers, en dat maakt het des te belangrijker dat providers zich niet onterecht ‘beschuldigd’ voelen op basis van gebruikte metrieken. Tijdens de lezing werden een aantal voorlopige resultaten getoond en besproken; daarbij is aangegeven dat een aantal van de uitkomsten wordt besproken met de betrokken providers. Het onderzoek wordt uitgevoerd met medewerking van onder meer SIDN.

Dmitry Chastuhin - The Latest Changes to SAP Cybersecurity Landscape
Dmitry Chastuchin (ERPScan) ging in zijn managementlezing in op kwetsbaarheden die in de afgelopen jaren zijn gevonden in verschillende SAP-softwareproducten. Daaronder bevonden zich een aantal ernstige kwetsbaarheden, waarbij Chastuhin in enkele gevallen een filmpje liet zien dat demonstreerde hoe de kwetsbaarheid kan worden uitgebuit. Hij gaf aan dat het steeds lastiger is ernstige kwetsbaarheden te vinden in SAP-software; dat is hoopvol. Het blijft van belang dat SAPsoftware niet alleen veilig is, maar ook veilig wordt gebruikt; immers kwetsbaarheden kunnen worden geïntroduceerd via maatwerkcode. Het blijft dus van belang aandacht te hebben voor de beveiliging van SAP-systemen.

Deze dertiende editie is erg goed ontvangen door de deelnemers. De drukbezochte technische presentaties en de hands-on hacking workshop “From XSS to Domain Admin” waren volgens velen absolute hoogtepunten.

Uiteraard zijn er ook verbeterpunten te noemen. De verdeling van toehoorders over beide zalen heeft hierbij onze aandacht; die was dit jaar aanzienlijk ‘schever’ dan we anticipeerden. Deze en andere feedback die we van bezoekers hebben mogen ontvangen nemen we mee bij het organiseren van de volgende editie van de Black Hat Sessions. Hopelijk bent u er dan ook (weer) bij!

Black Hat Sessions Part XIII is mede mogelijk gemaakt door veel sponsoren en media/kennispartners, waarvoor dank! Computable, Marqit, Fortinet, Hiscox, SIG, SCOS, ITSX, TSTC, Louwers IP|Technology Advocaten, Qi ict, AT Computing, ISOC24, SEEBURGER, NLUUG, Winmag Pro, PviB, Ngi-NGN, ISACA, NOREA, CYCO, Certified Secure, Waterforum en Infosecurity Magazine.

Speciale dank gaat uit naar de sprekers van deze editie: Eric Luiijf (TNO), Hans de Vries (NCSC), Teun van Dongen (zelfstandig auteur en analist), Alex Bik (BIT), Ed de Myttenaere en Paul van der Ploeg (NRG), K. Reid Wightman (Digital Bond Labs), Samaneh Tajalizadehkhoob (TU Delft), Daniël Dragicevic (Madison Gurkha), Dmitry Chastuhin (ERPscan) en Erwin Kooi (Alliander).

Op www.blackhatsessions.com/2015 vindt u de aftermovie en een fotoselectie voor een sfeerimpressie van de dag. Ook kunt u hier terecht voor de video-opnames en handouts van alle lezingen.

 

 

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa