post-header-photo

Holland Webweek Groningen – 17 september 2015

In mijn laatste vrije week van de vakantie werd in Groningen een IT-event gehouden, de Holland Webweek (advertentie in de Leeuwarder Courant gespot). Het werd van 16 t/m 19 september gehouden, ik ben 17 september geweest. Er waren een aantal thema’s waar je je voor in kon schrijven. Education, Security, Agri en Culture. Het item “security” leek me wel interessant, ook omdat ik op de lijst 2 sprekers zag die ik wel eens in real-life wilde horen/zien, Vincent Everts (gespot als gadget-freak bij Kassa, Radar of andere TV-programma’s) en Ronald Prins van Fox-IT (als er een advertentiefeed op nu.nl trojan horses aan het verspreiden is, dan zijn zij de mensen die het als eerste doorhebben en de rest van de wereld waarschuwen). Het event heeft de volgende website: http://thwwg.nl/ en is kun je op Twitter terugvinden via de tweets met hashtag #thwwg2015.

Als eerste moest je met je geprinte e-ticket naar de festivaltent, waar je tussen 8.00 en 8.45 uur een key-coard met daarop je naam en het thema kreeg, dat is deze dag je toegangsbewijs.

De aftrap werd gegeven in de Nieuwe Kerk door Vincent Everts. Door wat problemen met het geluid kon hij pas 9.15 uur beginnen in plaats van 9.00 uur, dus het liep een beetje uit, maar dat was geen probleem. De punten die hij bespreekt zijn:

– De bevingmeter. De innovatieve Groningers maken van een ramp een opportunity. Met deze app kan er (zodra deze door veel mensen gebruikt wordt) een goede weergave van aardschokken gemaakt worden.

– Het datacenter van Google. Investering van 600 miljoen euro.

– De Steve Jobs school. Vincent is hier laaiend enthousiast over. Ik weet niet of ik later mijn kinderen naar zo’n school zou sturen. Maar ja, vroeger werkte je met lei en krijt, later met vulpen/kroontjespen en zo ontwikkelt alles zich door. Als ander voorbeeld noemt Vincent de Khan Academy.

– Ook lijken iBeacons echt wat te gaan doen. Snakeware is daar natuurlijk al mee bezig, Vincent komt met het voorbeeld van de app voor SAIL waarmee je kunt zien welk schip waar vaart.

– Je hebt natuurlijk de Occulus Rift, maar als alternatief heb je ook het Google Cardboard.

– Urthecast. Beelden van de aarde vanuit het IIS. Er staat een linkje voor developers op de site, dit is nog in beta-fase. Toch maar even een verzoek ingediend: https://www.urthecast.com/contact/developers

– De 3D-printer lijkt eindelijk voet aan de grond te krijgen. Resultaten worden steeds beter.

– Amazon is een voorbeeld van een bedrijf wat zich goed aanpast. Eerst een webwinkel, maar nu ook een grote aanbieder van cloud-diensten.

– Mailchimp wordt nog even genoemd, deze dienst gebruik ik zelf ook al.

– Als je wilt zien wat er met je tweets gebeurt (hoeveel worden deze bekeken), dan is er een handig dashboard op analytics.twitter.com

Incrowd. De avond voor de start van de webweek is er een etentje e.d. geweest voor de belangrijke mensen en sprekers, Vincent heeft daar een aantal interviews gehouden die we op het scherm zien. Dit programma is makkelijk om op een snelle manier zelf je eigen video-blogs te maken.

– Internet of Things. Er worden wel heel veel zaken aan het Internet geknoopt. LoRa is iets wat daar een vervolg aan geeft, namelijk wide area network for the Internet of Things.

– We krijgen een filmpje te zien van een kind wat ziek is. Met een apparaatje kun je zaken controleren, scannen en vervolgens controleren dat je naar het ziekenhuis moet. E-Health 3.0?  Het gaat hier om de Scanadu Scout.

– BitCoins. Vincent heeft deze in de begintijd verkocht en op een goed tijdstip verkocht en kon daar zijn Prius voor kopen. Nice, hoewel ik een andere auto gekozen zou hebben 🙂

– De olie die opgeboord wordt, 70% hiervan zijn we “kwijt” aan vervoer. Dus auto’s, vliegtuigen, etc. Dat is wel een verontrustend groot percentage.

– Leafplan.nl. Ik heb hier even geen linkje van gemaakt, want deze site is niet meer online en door SEDO in de verkoop gezet. Je kunt nog wel op Youtube de filmpjes bekijken. Je ziet daar dat Vincent 53.000 kilometer met een Nissan Leaf heeft gereden. Naar eigen zeggen het ‘elektrisch rijden 1.0′. Maar de Leaf is lelijk en de korte actieradius is een minpunt. Op 30 september 2013 gaat Vincent over naar ‘elektrisch rijden 2.0, 3.0, 4.0′, met de Tesla Model S. De komende drie jaar gaat Vincent heel Nederland laten zien dat de Model S een ontzettend mooie auto is, zonder range problemen, die overal opgeladen kan worden en heerlijk rijdt.

– Nissan iphone app

– Connected car met eCall.

– Weergave van een indeling van een e-commerce-site. Deze is voor 10% blauw (het echte productinformatie-deel), de 90% oranje zijn alle “social zaken” die erom heen zitten.

Vervolgens konden we door naar het Platformtheater. Hier worden de presentaties van Security gegeven. Erik Rutkens is degene die de onderdelen aan elkaar praat. Zo schakelen we over naar een andere locatie waar een groepje van 6 mensen aan het “hacken” is. Aan het eind van de middag wordt bekend wie dit het beste gedaan heeft. Security heeft betrekking op Mens, Organisatie en Techniek.

Vervolgens mag Ronald Prins aftrappen. Voordat hij begint maakt hij nog even een foto van de zaal, het bewijs dat ik ook echt geweest ben 🙂

thwwg_cryptoron_photo_20150917.jpg

De punten die hij bespreekt zijn:

– Anunak. Deze groep uit Litouwen richtte zich vroeger op de phishingmailtjes, maar gaat nu verder.

– Hacken gaat nu ook tussen de staten, voorbeelden hiervan zijn in Iran met Stuxnet en het spioneren van Engeland in België (BelgaCom). Operation Cleaver.

– Phishing is aardig uit, er wordt nu meer gewerkt met ransomware. In veel gevallen lijkt betalen de enige mogelijkheid te zijn. Bij onderzoek hiervan heeft Fox gezien dat ook de politie zelf wel eens slachtoffer is geworden en er “gewoon” betaald is… #misdaadloontsomsweldus

– Soms is een hack nodig om zaken goed te krijgen. De hack bij KPN werd veroorzaakt doordat systemen niet geupdate werden (downtime was niet acceptabel). Na de hack was dit wel mogelijk, want de prioriteit ligt nu anders.

– Maar dat blijft dan wel binnen de eigen organisatie. Want na deze hack werd niet veel later met dezelfde methode een hack uitgevoerd bij het Groene Hart…

– In 2/3e van de gevallen komt het bedrijf er niet zelf achter, maar wordt het door een andere organisatie of door de inlichtendienst gemeld.

– In deze gevallen is het meestal zo dat de systemen al 200 tot 300 dagen gehackt zijn. Ai…

– Je weet dat je niet een gevonden USB-stick in je pc moet stoppen, maar bij de G20 werden door Rusland telefoonladers uitgedeeld. Hier bleek dus ook software in te zitten. Mocht je zo’n ding hebben, Ronald wil er graag één hebben.

– Credo: stay paranoid and trust no one.

– Ook bij Fox is er zo nu en dan een test. Mailtje om je uren in te vullen met een linkje. 40% trapt hier alsnog in. Ik herken dit, had ooit een wel heel erg lijkend mailtje van Paypal ontvangen, heb gelukkig niet op de link geklikt, maar rechtstreeks een mail naar support gestuurd. Kreeg toen terug dat het waarschijnlijk een phishing-mail was en na betere bestudering bleek dit ook zo te zien. Altijd je ogen open houden dus…

– RED team.

– Bij een “infectie” moet je niet altijd het virus direct opruimen. Want soms heeft die zaken op andere plaatsen gewijzigd en dat wordt dan niet hersteld.

– Er is een zorgplicht bij software.

– Alles kan getroffen worden, zie het incident bij Diginotar (lijkt net gebeurd te zijn, maar dat was al in 2011).

Vervolgens is er een panel wat het over Privacy gaat hebben. Ik ken de mensen niet die in het panel zitten, ik zie nu op het programma dat dit onder andere Jaap Henk Hoepman en Arnoud Engelfriet zijn (en er was ook nog een dame die in het panel zat). Laat Arnoud Engelfriet nu net genoemd worden op het blog van Tres, intressant.nl. Toeval, bestaat dat eigenlijk wel? Er worden een aantal stellingen gedropt, wij kunnen daarop reageren via govote.at, door een antwoord te kiezen. Zo is er de vraag of we weten of het bedrijf waar we werken voorbereid is op meldplicht datalekken. 49% weet dit niet. Deze meldplicht gaat in per 1 januari 2016. Het gaat hier “alleen” om het uitlekken van persoonlijke gegevens. Dit moet gemeld worden bij het College Bescherming Persoonsgegevens. Meer informatie via deze link.

Dan is het pauze. We lopen terug naar de festivaltent, hier kun je je bonnetje inleveren en krijg je eten of drinken. De eerste bon ingeleverd voor de hotdog met zuurkool, de tweede voor het broodje met salade. Smaakt prima! Lekker druk, maar voldoende zitplaatsen. Als de inwendige mens weer gevuld is kunnen we terug lopen naar het Platformtheater.

Edwin van Andel begint dan met de presentatie over OWASP-SPK.  Ik dacht even dat de broer van Eric Corton op het podium stond, want die mannen lijken wel op elkaar. Goed, terug naar de presentatie. OWASP staat voor Open Web Application Security Project. Edwin komt met een kratje Club Mate het podium op, zo nu en dan zit in de presentatie het tekentje van Club Mate, degene die de vraag goed beantwoordt krijgt een fles. Ik kende dit merk niet, maar zal het binnenkort eens kopen. Schijnt een goede manier te zijn om gefocust te blijven. Tijdens de presentatie komt onder andere Barnaby Jack voorbij, een hacker die onder verdachte omstandigheden overleden is.

Ook de Responsible Disclosure. Je vraagt dan op de website aan de bezoeker, als hij/zij een bug of open achterdeur op je website vindt, dat je dit dan wilt melden. In de meeste gevallen krijg je als dank daar wat voor (een mooi t-shirt, geldbedrag). Dit klinkt goed, maar de vraag is natuurlijk hoe dit opgevat wordt. Nodig je hier niet mensen mee uit om je volledige site te gaan port-scannen om maar een bug te vinden? Of geldt dit alleen voor een willekeurige bezoeker die ergens per ongeluk tegenaan loopt? Zo heb je ethical Hacker Victor die (op dit moment) 4.300 ethical hacks uitgevoerd heeft.

Hierna zijn Glenn en Riccardo ten Cate aan de beurt. Hun vraag is of we weten of XEE is. Eerlijk gezegd, geen idee. XSS is wel bekend (cross-site scripting), XEE blijkt te staan voor XML Xternal Entity. Het verwerken van formulieren voer ik uit op de ‘ouderwetse’ manier, met een post en gewone formdata, maar je kunt dit dus ook met XML doen. Als je dat niet goed valideert, blijk je dus bestanden op de server op te kunnen vragen, zoals /etc/passwd en dat wil je natuurlijk niet. Hier is het uitgebreider beschreven: https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

Glenn en Riccardo vragen aan de zaal of ze weten hoe cross-site scripting tegen is te gaan. Het blijft stil, waarschijnlijk omdat de meesten onder ons wel validatie en dergelijke toevoegen, maar bang zijn dat het antwoord niet compleet is. Maar het geeft aan, zoals de mannen hiermee aantonen, dat zaken qua afvangen of voorkomen van problemen beter kan. En XSS problemen bestaan als sinds 2001. In deze presentatie komen daar een aantal voorbeelden naar voren wat hieraan te doen is. Zo heb je bWAPP. Een buggy web application die 100 web vulnerabilities heeft en je dus mooi mee kunt testen. Voor het testen van SQL Injection heb je SqlMap.  Dan het voorkomen en op de hoogte blijven van problemen. Glenn en Ricardo geven aan dat er niet echt een centrale plaats was waar je je informatie weg kunt halen. Daarom is het project Security Knowledge Framework opgezet. Hier heb je een overzicht van mogelijke problemen en de fix daarvoor. Bij XEE blijkt 1 instructie voldoende te zijn… In het project kun je instellen aan welke ASVS (Application Security Verification Standard) je project moet voldoen. Met Travis, Coveralls, Scrutinizer kun je je code laten testen. Aanvullend kun je een collega je code laten controleren (code review), static of dynamic code testing (sast/dast).

Daarna volgt nog een presentatie van Junior over Zerocopter: https://www.zerocopter.com/

En uiteindelijk als afsluiter een stukje theater, met onder andere Henk van Ee (en nog een paar mensen waar ik de naam zo niet van heb). Het stukje waarbij je een wachtwoord in moet geven en elke keer een foutmelding krijgt (te kort, geen hoofdletters, geen scheldwoorden) is erg herkenbaar en zorgt voor gegniffel.

En daarna nog de prijsuitreiking voor de beste hacker van de groep. Dit had niet zoveel toegevoegde waarde, omdat je niet ziet wat ze gedaan hebben (schermen, code).

Een mooie dag, binnenkort sowieso het Security Knowledge Framework binnenhalen en kijken of we daarmee kunnen zorgen dat onze code beter wordt. Na afloop, rond 17.00 uur, loop ik naar parkeergarage Circus, betaal en probeer daarna Groningen te verlaten. Dat duurt iets langer, het is druk in de stad omdat de wedstrijd tegen Marseille vandaag gespeeld wordt. Via wat andere straten zit ik wat sneller op de wegen naar de rondweg, maar daar loopt het vast. Allemaal politie-auto’s en ME bussen scheuren heen en weer. Toch nog redelijk snel de stad uit, later zie ik via de online kanalen (o.a. Flabber) dat de hooligans uit Frankrijk zich behoorlijk misdragen hebben.

Volgens een tweet van Vincent Everts wordt op RTL Z Today (uitzending 17 september) aandacht gegeven aan dit event, ik heb het even geskipt i.v.m. de 5 commercials die je zo nu en dan moet zien voordat je weer verder kunt kijken: http://www.rtlxl.nl/#!/z-today-344915/14580860-f1f1-4ff5-8421-42f1aaf46efd Zo te zien is het maar een deel van de uitzending, dus het is best mogelijk dat dat deel niet in deze aflevering zit. Als dat zo is, dan is dat een #faal