Als je werkzaam bent in de IT dan moet je proberen bij te blijven. Of in ieder geval een beeld hebben wat er in de sector speelt. Ik ben abonnee van een aantal vakbladen en probeer zo nu en dan ook evenementen te bezoeken die werkgerelateerd zijn, dus Microsoft Build 2016 in Amsterdam, Azure Red Red Shirt Dev Tour. Op 16 oktober werd op Tweakers gemeld dat er een Meet-Up over security gehouden wordt in Utrecht (link), meteen met 2 collega’s ons aangemeld. Een interessant onderwerp (daar denken meer mensen zo over, we zijn mooi op tijd, want de kaarten zijn heel snel uitverkocht). “Vroeger” had je een I love you-virus op je pc, vielen de letters in je DOS-console naar onderen op het scherm. Kwamen later de Turkse hackers langs die je WordPress-blog vullen met onleesbare teksten. Krijg je ransomware binnen, waardoor je niet meer bij je documenten kunt. Internet is mooi en handig, maar ook erg bedreigend. Dus wat extra handgrepen, waarschuwingen en tools zijn altijd welkom.
Drie sprekers zullen wat vertellen. Peter Zinn over het Internet of Things, Suzanne Rijnbergen van KPN en ethical hacker Wesley Neelen van Dearbytes gaan het hebben over de beveiliging van gebouwautomatisering. Hoewel ik dit niet rechtstreeks link aan “het maken van websites”, zitten wij ook in een pand met centrale airconditioning, beveiliging en allemaal hardware die “open” staat naar buiten, dus indirect of direct ook “naar binnen”. De derde spreker is wat later bekend, dit is Frank Groenewegen van FOX IT met het onderwerp “a FOX IT war story”. Volgens mij heb ik Frank ooit eens voorbij zien komen op Twitter met een bericht, FOX IT ken ik wel, omdat in 2015 bij de Holland Webweek in Groningen Ronald Prins een lezing heeft gegeven. Dat was toen voor mij sowieso een reden om aanwezig te zijn, zijn tweets en verhalen op TV zijn altijd nieuwswaardig / interessant, dus ik verwacht dat Frank zijn verhaal voor ons het meest interessant zal zijn.
Op 8 november rijden we 16.00 uur weg bij TRES, op naar Utrecht, de Universiteit/het Marinus Ruppertgebouw aan de Leuvenlaan 19.
De exacte invulling is als volgt:
17:30 – 19:00 Ontvangst met drankje
19:00 – 19:25 We gaan er allemaal aan! – (Peter Zinn – Cyber Agent)
19:25 – 19:50 Hack the Office Building – (Suzanne Rijnbergen – KPN Security & Wesley Neelen – Dearbytes)
19:50 – 20:30 A Fox-IT War Story… – (Frank Groenewegen – Fox-IT)
20:30 – 22:00 Borrel
We kunnen niet bij het gebouw parkeren (vol!), dus we parkeren een eindje verderop. Na binnenkomst worden de tickets gescand en krijgen we een sticker met onze namen die we op kunnen plakken en twee consumptiebonnen. Een biertje en even bij een sta-tafel hangen. Bij de bar staat ook iemand een verhaal te doen bij een computer. Geen idee wat hij doet, geen idee wat hij zegt, want het is niet te verstaan. Spijtig, geef die man volgende keer een microfoon. Voor 19.00 uur lopen we de zaal in zodat we een mooie plaats hebben, niet te ver naar achteren, in het midden.
Peter Zinn heeft een ontspannen verhaal. Over de 20 mogelijkheden om te sterven en hoe hij verwacht dat we als zombies gaan sterven. Om met een verhaal te komen over IT (software die steeds updates krijgt) en OT (de systemen die bijna nooit geupdate worden) en hoe IoT (Internet of Things, jouw “slimme” gasmeter, je NEST, je Raspberry PI) eigenlijk de slechte eigenschappen van die zaken overneemt. Hardware niet bereikbaar, geen of weinig updates, beveiliging die niet of onvoldoende geïmplementeerd is om de kosten laag te houden. We krijgen het voorbeeld van hoe een casino gehackt is… door het aquarium! Daar zat een voedersysteem aan wat weer met het internet verbonden is en daardoor een kanaal was om binnen te komen. We zien in een filmpje hoe Miller en Vasalek een auto van afstand kunnen overnemen, de airco aan zetten, muziek laten spelen, maar ook de motor af laten slaan, op een stuk snelweg zonder vluchtstrook en dus een vloekende (en behoorlijk geschrokken) bestuurder. Komt uit een aflevering van Wired en hier op Youtube terug te zien: link. Hoe we vroeger van de ponskaart, naar een toetsenbord, muis, mobiele telefoon, Google Glass naar het Internet of People gaan. Eindoordeel is dat als we tot bezinning komen, het misschien met dat sterven als zombies nog meevalt. Bij de vragenronde hierna valt de term Stupidity of People, ook als zaken wel geupdate kunnen worden, mensen nog steeds geen handleiding lezen, zaken uit de doos pakken en zeggen “het werk toch”, zodat alles met het standaard wachtwoord te bereiken is, zero-day-exploites nog steeds gebruikt kunnen worden.
Hierna neem Suzanne het woord. Ze laat zien hoe bedrijven connected zijn met de buitenwereld en daardoor kwetsbaar kunnen zijn. Protocollen voor gebouwautomatiseringsystemen die genoemd worden zijn BACnet, Lontalk, SNMP. Je ziet bij SNMP op de wikipedia-pagina al staan dat oudere versies niet veilig zijn: network-sniffing, gevoelig voor brute-force-attack. Microsoft heeft een probleem met een datacenter gehad, probleem met de airconditioning. Google Warf, locatie in Australië van Google is gehackt doordat ze de updates niet bijgewerkt hadden. De hackers konden zo via de software van de airconditioning binnen komen, liften aan en uit zetten. Meer info via Wired: link. Dan is het nog het voorbeeld van Target, een groot warenhuisconcern, voor de Black Friday was dit bedrijf via de airconditioning-leverancier gehackt. Ruim 40 miljoen klantgegevens (inclusief creditcardgegevens) gelekt. Meer info via CNN: link. Ook komt Shodan ter sprake, dat is de zoekmachine voor internet connected devices. Dat betekent dat het handige apparaatje wat je gebruikt om internetradio te ontvangen ook door de buitenwereld gezien kan worden en misschien ook nog wel benaderd als je de standaard inlog niet aangepast hebt.
Daarna laat Wesley zien wat hij met thuis-domotica als ethical hacker getest heeft. Hij heeft zich gericht op Domoticz. Er vindt communicatie plaats tussen de apparaten, dat gaat via een MQTT broker. Via Cross Site Request Forgery kon hij zaken hacken. Dit houdt in dat je naar een formulier gegevens kunt sturen die niet afkomstig zijn van de pagina waar dit formulier op staat, maar van een eigen formulier of pagina waardoor je gegevens aan kunt passen. Hij krijgt het voor elkaar om van iemand anders een cookie op zijn server te krijgen, met dit cookie kan hij als die gebruiker in het systeem komen. Dan kan het “echte” werk beginnen, maar omdat hij “ethical hacker” is, heeft hij dat niet gedaan. Je geeft de maker door dat je zaken mogelijk kunt doen en dat dit dus een probleem is. Je kunt dit terug vinden op zijn eigen website, forsec.nl. Domoticz is een open-sourceproject en hier op Github te vinden: link.
Na de tijd nog een korte vragenronde. Hierbij de (begrijpelijke) vraag waarom Wesley zelf domotica gebruikt terwijl je dus ziet dat er fouten in kunnen zitten en het dus onveilig kan zijn. Dat is dan toch een kwestie van deels het risico accepteren en zelf je netwerk zo gescheiden inrichten dat het ene deel het andere deel niet kan/mag raken.
Een terzijde. Bij mijn aantekeningen zie ik ook mikko staan. Ik dacht dat dit de Twitternaam van Wesley was, maar het blijkt Mikko Hypponen, CRO van F-Secure te zijn. Volgens mij heb ik met F-Secure mijn eerste pc, een 8086 van een virus kunnen bevrijden. Waarschijnlijk afkomstig van een floppy die ik bij de bibliotheek geleend had. Dat waren nog eens tijden.
We gaan door met de laatste spreker, Frank Groenewegen van Fox IT. Hij komt met een casus van één van hun klanten, waarschijnlijk al wat jaren geleden. Er was een virus aangetroffen, dat was verwijderd en daarna is het een tijd stil geweest. Dat (of een andere oorzaak/beslissing) heeft ervoor gezorgd dat Fox IT hun netwerkverkeer monitorde. Op een bepaald moment kwam er een verdachte melding voorbij. Navraag bij het bedrijf gaf: “ja, één van onze antivirusprogramma’s trof een virus aan en heeft deze verwijderd. Probleem opgelost”. Niet dus. In de monitoring van Fox kan ook teruggespeeld worden wat er uitgevoerd is. Daarbij bleek dat er een command-shell actief geworden was. Bij nader onderzoek daarvan bleek dat een “vreemde mogendheid” zijn rootkit geïnstalleerd had waardoor documenten, gegevens van netwerkschijven, wachtwoorden het bedrijf uit gesluisd werden. Via gateways van satellieten wordt de data verstuurd, in de zuidelijke regionen van Rusland kan die data opgevangen worden. En waarschijnlijk gedecodeerd.
We hebben het hier over Snake/Turla, de rootkit die (eerste waarneming) sinds 2008 ontwikkeld wordt. Een uitgebreide beschrijving is te vinden op de pagina van Kaspersky: link. Ook hier komt de Stupidity of People ter sprake. Je weet dat de systemen geïnfecteerd zijn (25 geïnfecteerde servers, verspreid over alle netwerksegmenten), de systeembeheerder logt vervolgens toch met zijn nieuwe credentials in op een systeem wat nog niet opgeschoond is: het systeem weet dus wat het nieuwe wachtwoord is…
Dit is niet even een virusje of trojan. Het is een rootkit, een volledig onzichtbaar besturingssysteem. Draait zowel op Windows, Linux als OSX. Maar ook hier geldt de stupidity of people. De makers van de rootkit zijn geniaal, de gebruikers zijn niet altijd even slim. De hele rootkit bestaat uit uitbreidbare, configureerbare en updatebare modules. Die kun je onzichtbaar updaten. Maar omdat er eerst een bestandje op het normale bestandssysteem geplaatst werd, gingen nu de alarmbellen rinkelen. Maar die fout zal vast niet iedereen maken. Dus nu kun je wel een firewall of antivirusprogramma hebben (dat moet sowieso), maar je kunt dus zonder dat je het door hebt zoiets op je pc of netwerk hebben staan.
Wat kun je dan doen? Je moet natuurlijk updates doorvoeren. Hou de wachtwoorden secure, gebruik de Local Admin Password Solution van Microsoft: link. Segmenteer je netwerk. Voeg 2-factor-authentication toe. Zorg voor awareness in de breedte. Dus niet dat jij weet wat je wel of niet moet doen, maar ook dat je collega’s niet zomaar doorklikken op linkjes in mails. Zorg voor voldoende logging (hier zag je dat ook, het virus is verwijderd, maar wat heeft het gedaan?). Hou oefeningen met een Team Red vs. Team Blue. Sluit overeenkomsten met partijen die je kunnen helpen. En doe dat van tevoren, niet op het moment dat de boel in brand staat en je denkt, wat moet ik doen??? Zorg voor netwerkmonitoring (pcaps). Zorg voor de juiste detectieregels. Plaats een honeypot, zodat indringers daar eerst op af gaan en waarschijnlijk zichzelf verraden. Zorg dat je een alternatief communicatiekanaal beschikbaar hebt. Het bedrijf waar FOX bezig was, de mail was ook niet veilig meer, daarom ging de communicatie via een eigen whatsapp-kanaal. Zorg voor unieke wachtwoorden en accountrestricties.
Er kunnen nog wat vragen gesteld worden aan Frank, daarna is deze Meet-up afgelopen. We nemen nog een biertje en gaan terug naar het hoge noorden. Voldoende om over na te denken.
Want het zijn niet alleen de Russen die de boel bespioneren, ook de Engelsen bleken in de Brusselse archieven te sneupen, wat ook terugkomt in deze talk van Mikko Hypponen.
Ben je online, “be aware”!
Voor degenen die de eerste 2 presentaties nog willen bekijken en een klein foto-overzicht, Tweakers heeft deze op hun site online gezet: link.
De presentatie van Frank staat daar niet op, op 13 november heeft hij in Nieuwsuur een hack van Twitter toegelicht, terug te kijken via uitzendinggemist.
En nog een update per 21 november, Ronald Prins, mede-oprichter van FOX IT gaat het bedrijf verlaten: nieuwsbericht.