Verslag t2 infosec - 29 en 30 oktober 2015

Update 26 – Het Verslag –januari 2016

Walter Belgers doet verslag van t2 infosec dat vorig jaar plaatsvond in Helsinki. Hij heeft hier zelf een presentatie gegeven over lockpicking en IT-beveiliging.

Op 29 en 30 oktober 2015 vond de 12e editie van de jaarlijkse conferentie t2 infosec plaats in Helsinki. Aan het roer van deze conferentie staat Tomi Tuominen, een Fin die bedacht dat hij in zijn land een conferentie over ICTbeveiliging zou kunnen houden, kleinschalig en met goede sprekers. Dat concept werkt nog steeds.

 

Het kostte me de nodige hoofdbrekens, maar het is me gelukt om als eerste live op het podium zo’n slot te openen zonder geweld en zonder sleutel  Walter Belgers

Vorig jaar was ik voor het eerst op de t2 infosec conference en sprak toen over de parallellen tussen beveiliging in de fysieke wereld en in de ICT (zie ook het verslag in Update 23). Dit jaar wilde de organisatie me graag weer hebben en zelf keek ik ook uit naar deze conferentie. De sprekers worden zeer goed behandeld en de conferentie is intiem en leerzaam. Er worden slechts 99 bezoekers toegelaten en de conferentie is jaarlijks uitverkocht. De (noodzakelijke) sponsoren zijn onopvallend aanwezig en hebben geen invloed op het programma. De sprekers worden gekozen op basis van onderwerp maar ook hoe ze kunnen presenteren.

walter belgers tijdens T2 infos congres helsinki

Tomi stemde toe in een lezing over fysieke penetratietests, mits ik een Assa Abloy slot zou openen. Deze sloten, die je overal in Finland tegenkomt, zijn bijzonder lastig open te krijgen. Het kostte me de nodige hoofdbrekens, maar het is me gelukt om als eerste live op het podium zo’n slot te openen zonder geweld en zonder sleutel. Maar er was nog veel meer interessants te zien, vandaar een beknopt verslag van de meest in het oog springende zaken.

De keynote was van Morgan Marquis-Boire. Zoals de bedoeling bij een keynote, werden we geprikkeld met wat stellingen en open vragen, zoals de vraag wanneer het omslagpunt er was van hackers naar staten als aanvallers. Als je Stuxnet en Regin bekijkt, is dat zeker al vanaf 2002 aan de gang, en misschien al wel sinds 1996 als je zaken als domein-registraties voor deze malware bekijkt. Een belangrijker omslagpunt is recenter: de onthullingen van Snowden. Want op dat moment leefden we al in een “panopticon”: een staat waarin we op elk moment afgeluisterd en bekeken kunnen worden, maar pas op dat moment wisten we het ook (en dat is een voorwaarde voor een panopticon). Zo’n panoptische maatschappij kan functioneren (kijk naar de UK), maar wanneer is het teveel (zoals in Oost-Duitsland)? Kan de technologie ons nog helpen? (Want de politiek zal dat niet doen.)

Georg Wicherski gaf uitleg over het bouwen van een wegwerp-laptop die je mee op reis kunt nemen. Bij grote(re) bedrijven is het nu al zo dat CEO’s e.d. een wegwerplaptop gebruiken, maar Georg wilde er eentje hebben van maximaal 300 dollar. Uiteindelijk is dat gelukt met een Chromebook laptop met wat modificaties, zodat de bootchain veiliger is. We weten nu dat de NSA programma’s heeft (“IRATEMONK” en “SWAP”) om laptops bij de douane te infecteren.

De lezing van David Chismon ging over Threat Intelligence. Dit is het nieuwe modewoord, maar wat is het nou precies en wat heb je er aan? Voor veel mensen is het “we kopen threat-feeds en proberen APT’s te detecteren”. De feeds die je kunt kopen, blijken vrijwel disjunct, de vraag is dus wat je er aan hebt. Bovendien moet je je eerst de vraag stellen: wat wil je ermee? Threat Management kun je op allerlei niveaus doen. Op strategisch niveau heb je het over traditionele “intelligence” en dat is erg moeilijk. Op operationeel niveau heb je het over logging en events, die door de verdedigers kunnen worden gebruikt. Op een tactisch niveau gaat het over malware samples, informele contacten e.d. die leiden tot adviezen voor architecten en systeembeheerders. Op technisch niveau gaat het ten slotte om rulesets voor firewalls die je bouwt aan de hand van feeds. Let wel: de systemen in feeds blokkeren, levert je alleen bescherming tegen zaken die heel makkelijk te omzeilen zijn, namelijk hashes, IP-adressen en domeinnamen.

Lev Pachmanov van Tel Aviv University sprak over side channel attacks op PC’s. Boeiend, maar vaak niet zo aanschouwelijk. Lev had echter een paar werkende demo-opstellingen. Zo kon hij PGP-sleutels uit een PC halen door gegevens die lekken via aardstroom, af te vangen door fysiek te koppelen met metalen onderdelen van de laptop. Deze lekstroom kan ook door een mens lopen, of zelfs door een worst zoal Lev liet zien (ik moet erbij zeggen dat deze typische Finse worst officieel is geclassificeerd als groente vanwege te weinig vlees). Ook met een microfoon die geluiden uit spoeltjes en condensatoren opving, wist hij de sleutels te achterhalen, totdat door applaus in de zaal de microfoon overstuurt raakte. Dit werkt ook met de microfoon in een mobieltje op 30cm.

Dit is slechts een bloemlezing. Wil je meer weten, kijk dan op t2.fi. Hier worden ook de handouts beschikbaar gesteld. De volgende conferentie is op 27 en 28 oktober 2016.

 

 

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa