post-header-photo

Tweakers XL: Privacy en Security – Gooiland Hilversum op 26 mei 2018

Op 8 november 2017 ben ik met twee collega’s naar Tweakers in Utrecht geweest, daar waren een 3-tal sprekers over Privacy en Security. Ik ontving nu een uitnodiging voor een evenement op 26 mei, wat ongeveer een dag duurt, in Hilversum. Toevallig zou ik deze avond naar Katy Perry in de Ziggo Dome, dus ik moest die kant toch al op, een kaartje geboekt!

‘s Morgens iets voor 8 uur weggereden, door de polder, mijn TomTom loodst me feilloos naar de parkeergarage. Hoewel ik mijn jas ombindt is dat eigenlijk niet nodig, het is warm, dus die jas gaat in de tas. Eerst sta ik aan de voorkant van het hotel, ik volg de rest naar de zijkant waar we via de theateringang naar binnen kunnen. Hier staan een aantal tafels en hebben de medewerkers op alfabetische volgorde (voornaam) de naamlabels en het programma voor ons klaar liggen (en 2 muntjes). Eerst maar een bakje koffie.

Hoewel het niet de bedoeling was dat we al in de grote theaterzaal zouden gaan zitten, zitten er al mensen, dus ook wij kunnen doorlopen en een plekje zoeken. Chris Roberts is de eerste spreker en spreekt hier voor iedereen. Andere sessies zijn gelijktijdig en verdeeld over de 3 zalen, dus je moet dan een keuze maken welke sessie je gaat volgen. Chris kende ik niet, dus ik heb hem van tevoren even op het Internet opgezocht. Hij houdt er van om dingen te hacken, maar of het een echt ethische hacker is, dat kan ik zo niet beoordelen, daar kom ik op terug. Ethisch hacken houdt in dat je theoretisch bepaald dat iets niet veilig is, maar je dringt niet echt de systemen binnen omdat dat niet legaal / ethisch is.

Zo op het podium te zien is hij behoorlijk indrukwekkend. Grote baard, grote gast. 131 slides in drie kwartier erdoorheen jassen, en op een tafeltje een fles Schotse Whiskey. Zouden we zelf nog Trendship doen, dan zou het misschien een goede spreken voor ons zijn. Bij zijn introductie geeft hij al aan dat als je hem niet kent, even zijn naam moet Googelen met “NASA”  en “ airplane” . Hij is bekend als hacker van United Airlines. Onder de stoelen heb je een computer voor het media-entertainmentsysteem, hij vond een manier om de kast wat los te wrikken, sloot een UTP-kabel met gemodificeerde connector aan, sloot dat weer aan op zijn laptop en kon met standaard user-ids en wachtwoorden doordringen in het entertainmentsysteem en vervolgens ook in de andere systemen waarmee het vliegtuig zelf te manipuleren was. Volgens de FBI heeft hij dat ook gedaan, heeft het toestel licht laten stijgen en licht heen en weer laten gaan, Chris ontkent dat. 

Chris blijft nog even in de lucht, hij vertelt op het podium dat ze geprobeerd hebben de Curiosity, het karretje wat op Mars rijdt te hacken (mislukt). Hij vertelt niet dat (wat op deze site staat) hij ook de temperatuur in het international space station heeft kunnen laten stijgen.

De 20-80 regel kende ik wel, dat je meestal 80% van het werk in 20% van de tijd doet, maar de 15-70-15 regel kende ik nog niet. Daarmee zeg je dat 15% van de mensen weet wat security (beveiliging) is, 70% kan het woord nog net spellen en de andere 15% doet ook wat aan beveiliging. Dat is wel waar. Bijna iedereen heeft een computer nodig, maar er zijn zoveel mensen die maar net weten hoe je een pc aan of uit zet. 

Chris vliegt door de slides heen, ik had moeite om hem bij te houden, dus dit lijstje zal niet compleet zijn, maar zijn wel belangrijke punten. Het zijn op zich oude punten, we weten al 10 jaar dat er SQL injection mogelijk is, maar het komt nog steeds voor. Voor de noobs onder ons, het betekent dat je door bijvoorbeeld op zoekformulieren andere waardes in te vullen dan de maker verwacht je data uit de database kunt halen waar we eigenlijk niet bij mochten komen. Netwerk-segementatie was het voorbeeld van het vliegtuig. Het mag niet mogelijk zijn dat je als passagier bij software kunt komen waar alleen de piloot in de cockpit bij mag. We updaten niet snel genoeg / te weinig. Als je JAVA op je computer hebt, krijg je bijna elke dag een melding dat er een update is en krijg je dus update-moeheid, alweer-laat maar zitten…

De nieuwe problemen slaan op de 15-70-15 regel. We worden steeds meer bedolven onder coole gadgets. Iedere fabrikant bedenkt zijn eigen beveiliging (of niet). Je buurman koopt een raspberry pi omdat hij er zo handig de webcam aan kan hangen. Dat hij ook even het standaard wachtwoord moet aanpassen, daar heeft hij als noob geen verstand van, alles staat open en iedereen kan er misbruik van maken. FinTech stond ook op het lijstje, dit zal te maken hebben met Bitcoins e.d. Een tijd geleden heeft er een stuk in de LC gestaan van volgens mij een jongen uit Drachten die licht autistisch was, maar het ook super vond om wat te “ hacken “, hij kwam op de site van een crypto-aanbieder die snel-snel zijn product zag groeien en daardoor zaken online “moest” zetten welke niet goed beveiligd waren, maar eigenlijk niet meer kon stoppen. Die jongen heeft het (simpel) gehackt, dit gemeld en is nu aan de slag om alle gaten te dichten.

Dat zijn de nieuwe problemen, we gaan nog even terug naar de oude. Heel veel zaken (routers, gadgets) hebben een standaard gebruiker / gebruikers en standaard wachtwoorden. Het is de bedoeling dat je die aanpast (of de user verwijdert en nieuwe aanmaakt), maar te vaak wordt dat niet gedaan. 

Chris kon op een systeem komen waar software voor de treinen op draaide. Hij kon hier een geo-fence op instellen, plaatsen waar de trein blijft staan. Dat heeft hij ook gedaan, de trein blijft elke middag vlakbij het huis van een vriend staan.

Na het vliegtuig en het space station ging Chris de agrarische sector in. Ook hier weer, programma’s die op verouderde computer draait. In de auto werd de ontvangst van een meter gestoord, dat bleken de pedometers die de koeien om hadden te veroorzaken (daarin werd de afstand bijgehouden, zodat bepaald kan worden hoeveel eten de koe moet krijgen). Ook dit was weer te hacken, dus die koe heeft ongeveer in 1 dag het halve land afgelopen, benieuwd hoeveel voer deze heeft gehad.

In de stal staan de grote voedermachines. De code daarvoor stond… op Github. Dus aangepast door Chris, vervolgens staan de machines ’s middags naast elkaar te line-dancen.

Op zich waren dit nog wel grappige “hacks” , hoewel het natuurlijk diep triest is dat deze producten waar de boer flink voor mag betalen zo vol gaten zitten. We gaan echter door naar zaken die een mogelijke ramp kunnen veroorzaken. In de Maersk containerschepen zitten ook interne netwerken/computersystemen om de logistiek bij te houden. Ook weer op verouderde software, we zien screenshots van Windows 2000 en Windows 2003 RC2. Je kunt bij de GPS data komen, zo ook bij een containerschip waar vloeibare LPG in zit, groot genoeg voor 7 olympische zwembaden waarbij je de boel zo kunt manipuleren dat het schip in onbalans raakt en dus kan kapseizen.

Chris beëindigt hiermee zijn presentatie. Mocht je meer van het willen weten / hem volgen, hij zit op Twitter: @sidragon1. We kunnen door naar de volgende presentaties.

De volgende sessies zijn de digitale trein visie, advanced persistent incident response en threat hunting en “the maze challenge, stop the 5th element”. Van tevoren klonken de eerste twee nogal saai, dus ik heb gekozen voor de maze challenge. Een foute keuze, want het gaat hier om een flutverhaaltje over een taxibedrijf wat een concurrent krijgt en hoe ze die gaan proberen “te hacken”. Nog wel wat aantekeningen gemaakt van termen en tools die benoemd worden, maar ik had liever een “echte case” gehad. nmap, slow post, api fuzzing, sql injection, ddos, SQLMap worden benoemd. 

Het is inmiddels 12.00 uur geweest, naar buiten voor de lunch. Hier staat een foodtruck, maar die zijn nog druk bezig om hun spullen voor elkaar te krijgen. De snackbar ernaast laat al weten dat ze voor de hele kluit mensen geen eten kan maken. Ik ga eerst maar even op een muurtje zitten, geniet van de zon en lurk aan mijn flesje water wat ik uit de auto heb meegenomen. Een jongedame en haar vriend vragen wat al die mensen hier doen, ik leg ze uit dat het een aantal presentaties over privacy en security zijn van Tweakers. “Oh, ah, ja, er zijn wel veel mannen, ja”. Inderdaad, net als bij de HIO-opleiding is de opkomst van de dames laag.

De foodtruck gaat toch nog open, dus ik neem een biologisch patatje. 

Daarna gaan we weer naar binnen en met zijn allen naar de grote zaal, er volgt een panel-discussie. Half uurtje, iemand van ABN-Amro, iemand van de Rabobank (Jean Paul), Adrianus Warmenhoven en nog iemand die deze middag spreekt. Er komen maar 2 punten ter sprake, het gratis gebruiken van Facebook vraagt erom dat je dan al je privacy opgeeft en dat we van wachtwoorden af moeten en dat vervangen door biometrische data omdat iedereen er een potje van maakt. 

Hierna zijn weer een drietal sessies, your digital identity, the adventures of pentesters en Fulcrum, crypto als steunpunt. Deze laatste sessie wordt gegeven door Jean Paul van Haastert van de Rabobank, hij doet een verhaal over encryptie. Met logische tips, denk niet dat je zelf een fantastisch veilig algoritme kunt bedenken. Je ziet vaak genoeg dat iemand dat wel probeert en vervolgens het halve internet binnen een dag aantoont dat het niet veilig is.

Een linkje naar hoe NSA gegevens uit e-mails kon halen: bit.ly/JYqDS3

De opmerking dat je SSL binnen bepaalde netwerken ook zonder encryptie kunt uitvoeren (waardoor het sneller is) en nog een verwijzing naar de GitHub van KPN, hun security policy is vrij te gebruiken door andere organisaties, link.

Hierna volgt een half uurtje pauze. We kunnen nog even wat drinken. Daarna volgen de laatste 3 gelijktijdige sessies. IoT Security door Wouter Slotboom, Cookiewet 2.0 door Joost Schellevis van de NOS en “the data that speaks about your data, it speaks about you” door Adrianus Warmenhoven (Research en Development bij Redsocks Security), deze sessie heb ik gekozen.

Adrianus is een old-school IT-er. Hij leefde net als ik in de tijd dat het Internet in opkomst was en we ons moesten redden met inbelverbindingen. Adrianus heeft toentertijd Freeler en Zonnet opgezet. Meta-data kun je op meerdere manieren omschrijven. Meta-data kan data zijn die beschrijvend is voor “ echte “  data. Zo kun je in een webpagina bijvoorbeeld og:-metadata meegeven, zodat als je het deelt met Facebook meteen een titel, afbeelding en intro-tekst gefilterd kan worden. Adrianus komt met het voorbeeld van CERN. het high boson deeltje. Het is niet fysiek waargenomen, maar door de verschillende proeven en reacties van andere deeltjes is afgeleid dat het higgs bosson deeltje zou moeten bestaan. 

Zo hebben applicaties op je pc ook een bepaald ritme. Het bleek dat bijvoorbeeld een bepaalde build van Firefox een vaststaan “ ritme “ had, dus bijvoorbeeld bij het opvragen van bepaalde data bij websites e.d. Als deze build een beveiligingslek heeft, is via die “ metadata “ te bepalen dat iemand kwetsbaar is voor jouw aanval. 

Via de site panopticlick is te controleren of jij te onderscheiden bent van de andere online bezoekers.

Salesforce van Microsoft is ook bezig om een soort bibliotheek samen te stellen waarmee applicaties te categoriseren zijn. Zo kun je op een andere manier bepalen of er aan de andere kant van de lijn software draait die jou probeert te hacken. Het gaat om JA3, dit is de link: https://github.com/salesforce/ja3. Dit zijn de wat ingewikkelder methoden, een simpele methode is dat Adrianus een accespoint had gemaakt en gemanipuleerd en zo kon zien dat er regelmatig 2 jongedames bij zijn buurjongen op bezoek gingen (hoe heet jouw iPhone….). Hij merkte op dat de ene vaker langs kwam dan de andere, de andere kwam niet meer, de keuze was gemaakt. Hij heeft dus niet hoeven zien dat de dames naar de buurjongen gingen, via deze indirecte data kwam hij er ook wel achter. 

Dat is dus ook zijn reden om tegen de sleepwet te zijn, en dan vooral het langere tijd bewaren van data. Dat er gezegd wordt dat niet de data zelf ingekeken wordt geeft met deze voorbeelden al aan dat het in veel gevallen niet nodig is.

Dit was zeker een interessante sessie. Hierna gaan we met zijn allen weer naar de grote theaterzaal. De dag wordt afgesloten door Hans de Zwart van Bits of Freedom. Hij geeft aan niet op Facebook of Twitter te zitten en probeert af te kicken van Google, hoewel dat toch wel zwaar valt. Geen Google Maps, het alternatief is trager. Op het scherm projecteert Hans nog even de link naar de Toolbox van de BOF: https://toolbox.bof.nl/

Tot zover deze dag van Tweakers. Ik had gehoopt wat meer te leren over zaken die ik als back-end programmeur in praktijk zou kunnen brengen, dat heeft deze dag niet echt gebracht (misschien had ik dat bij de andere sessies wel kunnen zeggen). In ieder geval opent zo’n dag weer je ogen. Teveel mensen hebben hun hardware / netwerk / gadgets open staan voor de “boze buitenwereld”. Ook bedrijven (luchtvaart, scheepvaart, openbaar vervoer) die je fouilleren bij binnenkomst, je op de passagierlijst hebben staan hebben ook hun zaken niet goed voor elkaar. Chris gaf aan dat anti-virus slechts 3 tot 5 procent van je beveiliging is. Dus als je relaxed zit omdat je up-to-date antivirus hebt, wordt wakker, dat is niet voldoende. Blijf kritisch. Een website kan wel een https verbinding hebben, het geeft slechts aan dat het verkeer veilig / encrypted over de lijn gaat. De website zelf kan nog malware of andere software bevatten die niet goed voor jouw pc is. Ik denk dat de 70% van de 15 – 70 – 15 regel denkt dat de website altijd veilig is omdat er een slotje voor staat….

Ik heb deze dag enkele foto’s gemaakt, die zijn hier te bekijken: album