post-header-photo

Tweakers XL: Privacy en Security – Gooiland Hilversum op 2 november 2019

In mei 2018 ben ik bij de meet-up van Tweakers over Privacy en Security geweest (link). Dit jaar wordt dit event nogmaals gehouden, ik ben er wederom bij. Op 2 november zit ik rond 8.00 uur in de auto. Onderweg bij het tankstation een Telegraaf kopen, in Hilversum aangekomen even wat rondrijden. Ik heb het adres van het gebouw, maar de weg naar de parkeergarage waar ik de vorige keer stond, die mag ik vanaf deze kant niet inrijden. Als ik een andere afslag neem kom ik in een winkelstraat uit met op loopafstand van waar ik moet zijn een parkeergarage. Via het mooie grote winkelcentrum kom ik weer op de straat en loop naar het gebouw.

Ik ben er rond 9.45 uur. Eerst de jas inleveren, kaartje laten scannen en ik krijg dan vervolgens een tag met mijn naam en 2 muntjes, waarmee je drinken kunt kopen. Je kunt bij de kassa nog een muntje kopen voor de lunch, dat doe ik. Vervolgens eerst een cappuccino. Daarna naar de theaterzaal waar de dag begint.

Tijs Hofmans van Tweakers opent de dag (link). Hij heet ons welkom en geeft dan het woord aan de eerste spreker. We zouden beginnen met Frank Ahearn, maar hij is ziek er heeft zich afgemeld. Frank is auteur van How to Disappear: Erase Your Digital Footprint, Leave False Trails, And Vanish Without A Trace (Lyons Press). We beginnen daarom met de sessie van Nico Dekens (link), hij spreekt over “Wat is Open Source Intelligence?”. Online te vinden op: https://dutchosintguy.com/  Nico werkt bij Bellingcat: https://www.bellingcat.com/ en instructeur bij sans.com.

Op Internet is veel informatie te vinden en hoewel we dat (als het goed is?) wel weten, laten we waarschijnlijk meer data onderweg vallen, die mensen die echt gaan zoeken weer kunnen combineren tot een profiel. Je social media laat veel informatie zien, sport-apps (de Strava-app waarmee ineens zichtbaar werd waar militaire locaties waren omdat soldaten hun rondjes daar liepen), het internet of things. Maar ook via je partner of werkgever kan er data “weglekken”. Een vriend van Nico laat trots zijn resultaten van een rondje mountainbiken zien. Nico ziet alle informatie, het kaartje en zegt: “zal ik eens kijken wat ik op basis hiervan voor gegevens over jou kan terug vinden?”. De vriend reageert met: “prima, dat zal wel meevallen”. Door te zoeken op Google, maar ook DuckDuckGo, Bing, Facebook, Twitter (en zelfs het telefoonboek) kan Nico op basis van alleen die gegevens de naam, vriendin vinden. Maar ook de dochter (en door terug te rekenen kun je haar geboortedatum bepalen, wat sommige ouders dan toch weer als wachtwoord gebruiken…). Vervolgens toont Nico ons een filmfragment wat gemaakt is bij een mat-partij van PEC hooligans met andere voetbaltuig. Wat er gebeurt doet niet echt ter zake, we willen weten waar dit was. Doordat iemand onder het filmpje toevoegt “dit is ergens ten zuiden van Zwolle” wordt het de onderzoekers al wat makkelijker gemaakt. Doordat er een boom uit de rij mist, een boerderij op de achtergrond en een elektriciteitsmast in de verte te zien is, is het punt te bepalen. Een andere opdracht was een locatie in Syrië zoeken van mensen die waren gegijzeld, ze zaten geknield in een binnenplaats van een meisjesschool. Door de beelden te combineren, is er een groter deel van het binnenplein te zien. Op de term “meisjesschool” is niets te vinden, maar doordat iemand het Arabische woord kan aanleveren, kan er op Wikimapia (link) gezocht worden. Dit is een wiki voor kaarten en wordt door mensen uit de buurt onderhouden/gevuld en zij geven dus (net als wij zouden doen) de naam “meisjesschool” aan een gebouw. Op die manier kan met grote zekerheid de locatie bepaald worden. Ook een knap voorbeeld is van een Amber Alert waarbij een Engelssprekende persoon een meisje meegenomen zou hebben, de politie heeft foto’s verspreid. De ene foto is ergens binnen een winkelcentrum, maar de andere, daar zie je een arm van een standbeeld. Het lijkt op een oorlogsstandbeeld, in een park. Met de juiste zoekwoorden komen we bij het memorial uit in Washington. Zou de persoon hier ook wonen en zou hij al een strafblad hebben door ontucht oid met minderjarigen, dan is dat in een openbaar register terug te zoeken, dus je zou als je maar lang genoeg blijft zoeken bij zijn naam uit kunnen komen. Iedereen zit zich blind te starten op Google, maar Yandex en andere zoekmachines leveren soms net de hit die de andere zoekmachine(s) niet leveren. Ben je net als ik toch wel nieuwsgierig geworden wat je er nu allemaal mee kunt, er zijn genoeg resources te vinden:

https://osintcurio.us/

https://osintframework.com/

Hierna is er de keuze uit 3 sessies, Sanne Maasakkers met “War stories: Hackers vs the rest of the World”, Sietse Ringers met “IRMA: Praktische en privacy vriendelijke authenticatie” en Ralph Moonen met “GSM Interceptie: hoe werken IMSI catchers en andere kwetsbaarheden”. Sanne (link) is van FOX-IT, Ronald Prins en Frank Groenewegen heb ik bij eerdere events bezocht, Sietse (link) spreekt over betrouwbaar en privacy-vriendelijk gegevens uitwisselen, Ralph (link) gaat de zwakke punten van GSM tonen (2G, 3G en 4G) met een Software Defined Radio (SDR) en het open source pakket YateBTS (link). Ik kies voor de sessie van Sietse, omdat ik wel benieuwd ben naar zijn antwoorden op de vragen die in dit stukje tekst gesteld worden: “Hoe overtuig je een online platform ervan dat je oud genoeg bent voor een game, of dat je als patiënt je medische dossier mag inzien? Andersom: als website beheerder, of als software-engineer, hoe stel je dat vast over je gebruiker? Als je dit niet goed regelt leidt dat tot datalekken en fraude.”

De stichting Privacy by Design Foundation (link) beheer de IRMA-software. We krijgen uitleg en wat beelden te zien hoe je een website hebt, daar moet aantonen dat je ouder dan 18 jaar bent en met behulp van een QR code kun je dan jouw “ouder dan 18 jaar attribuut” valideren en krijg je toegang om het spel in je winkelwagen te zetten. Hierbij is het authenticatie op basis van een attribuut, maar je kunt er ook een soort digitale handtekening van maken. De IRMA-software staat op Github (link) en we worden aangemoedigd om het te downloaden, installeren en ermee te werken. Je hebt het front-end javascript, maar ook een eigen servercomponent en een app (link). Wat je wel doet, inloggen “via Facebook”, gaat hier net even anders, omdat je niet via een 3e partij gaat, houd je de data afgeschermd. Er maken al een aantal partijen gebruik van de software, de gemeente Nijmegen, SURFnet en nog een aantal partijen. Binnenkort de software maar downloaden en installeren, want door het te testen/ermee te werken krijg ik er meer gevoel bij en kan ik beter beoordelen of dit nu iets is wat nuttig/goed is, of waar ik nog wel haken en ogen in zie.

Hierna is er een uurtje lunch. Complimenten voor de organisatie, vorige keer was het buiten bij een foodtruck die moeite had om de bestellingen te verwerken, nu kun je het muntje inleveren en krijg je een kartonnen bakje met krentenbol, broodje met ham en sla en een broodje met een kroket. Helemaal top.

Na de lunch zou Nico spreken, maar omdat hij vandaag gestart is, is er een panel-discussie met een aantal stellingen waar 3 van de sprekers vandaag op in mogen gaan.

Hierna wederom 3 sessies waaruit een keuze gemaakt moet worden. “Your Toaster is Snitching on You” (link) door Mark Zoetekouw en Manon den Dunnen (van de politie), “Inzet van WIFI-tracking voor beter functionerende stations” (link) door Rik Schakenbos (van de NS) en “Een jaar Security Research” (link) door Wesley Neelen en Rik van Duijn (van KPN). Mijn keuze valt op de sessie van KPN, de omschrijving van wat besproken gaat worden lijkt me interessant: Wesley en Rik laten zien hoe het eraan toe gaat bij de KPN Security Research afdeling. Onderzoeken naar ransomware, betalingsfraude, het hacken van Kiosk systemen tot koffieautomaten. De sessies zijn geswitched, deze presentatie wordt ook in de theaterzaal gegeven, dus ik kan blijven zitten.

Dit is een leuke presentatie, de twee mannen doen het goed. Rik (twitter) is 7 jaar ethical hacker en ongeveer een jaar security-onderzoeker. Omdat er rond januari 2018 steeds meer signalen kwamen dat er tikkie-sites kwamen die je bankrekening leegplunderden gingen de mannen op onderzoek. Waar begin je dan? Wesley (twitter) neemt de presentatie over. Via Google Certificate Transparency logs (link) of cert.sh zou je kunnen zoeken op domeinnamen waar tikkie in voorkomt. Die service bleek niet altijd responsive/betrouwbaar te zijn, dus de mannen hebben zelf een systeem gemaakt om die informatie binnen te halen en daarop te query-en. Zo komt ook de term “punycode” voorbij (mijn eerste associatie is de punica-oase, zo zie je hoe reclame in je brein blijft hangen), waarbij exotische karakters worden gebruikt waardoor een URL legitiem lijkt, maar het niet is (link). De phishing-URL’s voor banken komen voorbij, op een bepaald moment valt het op dat nu ook de Rabobank gebruikt wordt. Er blijken gewoon phishing-sites klaar te staan, als je een bitcoin-betaling doet worden ze actief en kun je ze gebruiken. Ook kun je zaken op een eigen VPS installeren, een kant en klare installer kan hiervoor worden geleverd. De mannen krijgen het later ook voor elkaar om in de admin-omgevingen te komen.

Een ander voorbeeld is de koffie-automaat die gehackt wordt, waardoor de optie “Rick Juice” met zijn foto op het apparaat beschikbaar wordt. Leuke prank, maar aan de andere kant verontrustend dat je dit voor elkaar kunt krijgen. Ander voorbeeld is een klant die een kiosk-pc heeft en niet wil dat de boel te hacken is. De mannen mogen er (met andere collega’s) op losgaan. Met een rubberducky worden speciale toetscombinaties uitgevoerd waardoor je binnen bent. Met een barcode-scanner idem dito. Maar er is iemand die het via printeropties voor elkaar krijgt om een powershell ervoor te krijgen.

Na een pauze van een half uurtje volgen de laatste 3 sessies waaruit gekozen kan worden, “Coordinating vulnerability disclosures on a global scale” (link) door Victor Gevers, “Pentesting chatops” (link) door Melanie Rieback en “Threat Hunting and Attribution: from criminals to state actors, this is how we do it” (link) door Jornt van der Wiel.

Meestal springt er wel één uit, maar in dit geval had ik eigenlijk alle 3 wel willen volgen. Jornt is van Kasperski, zijn sessie gaat over APT groepen (Advanced Persistent Threat staat voor een langdurige en  doelgerichte cyberaanval: wikipedia)  en hoe dit gemonitord wordt. Melanie bespreekt tools die gebruikt worden voor pen-testen, RocketChat, Hubot, ChatOps. Ik bezoek de sessie van Victor door de omschrijving: “Victor will provide more news and insights into the techniques he uses to identify and alert on huge data leaks.”. De man heeft 6.000 gevonden vulnerabilities op zijn naam, heeft in 2016 een sabattical genomen en is vervolgens 15 uur per dag, 366 dagen lang gaan scannen.

Alleen, Victor is ook ziek. Hij wordt vervangen door Chris van ‘t Hoff. Hij lijkt wel wat op T-Bag van Prisonbreak, is een Rotterdammer en kan het goed vertellen.
We duiken een beetje in de historie. De mensen die stemcomputers niet vertrouwen (link), studenten van de universiteit Twente die aantoonden dat de OV-chipkaart niet veilig was (niet random genoeg). Die kregen een rechtszaak aan de broek, maar de rechter stelde dat ze het algemeen belang in het oog hadden en sprak ze vrij. Toen Henk Krol vervolgens aantoonde dat met een postcode (of andere code) je bij diagnostiek voor u kon binnenkomen, stelde hij meteen het nieuwsblad op de hoogte. De rechter oordeelde dat het bedrijf eerst de kans had moeten krijgen om zijn zaakjes op orde te brengen. Vervolgens komt de overheid die met een document “Leidraad om te komen tot een praktijk van Responsible Disclosure”. Nog een stukje promotie, het boek “Helpende Hackers” geschreven door Chris. Het artikel over Victor is hier te vinden: de Correspondent. We zien het 6-stappenplan van de CSV (Responsible Disclosure, Coordinated Vulnerability Disclosure). 1, regel mandaat en commitment van het management. 2, inventariseer je IT. 3, besluit he zelf te doen of uitbesteden. 4, maak een proces voor wat te doen bij een melding. 5, plaats een tekst met CVD-beleid op je website. 6, test en blijf testen. Je moet goed op je teksten letten. Chris had een tekst in het Engels dat er geen bug-bounty gegeven zou worden, maar de botjes van alle Oost-Europeanen filteren alleen op “bug-bounty” en vervolgens stroomden de meldingen binnen met het verzoek om de bounty toe te sturen…

Chris geeft het voorbeeld van de Toon, de slimme thermostaat van Eneco. Dat bedrijf stond ook achter de responsible disclosure, dus de hackers mochten zich erop storten. Het project werd “Game of Toons” genoemd. Studenten/hackers gingen ermee aan de slag. Drie categorieën voor prijzen, de meest techy, de vreemdste en de meest gevaarlijke. De vreemdste hack was van Team Sesamstraat, het team van de Nationaal Coördinator Terrorisme Bestrijding (wow!). Meer informatie en filmpjes zijn hier te vinden: link. Ook bij de gemeente Den Haag (link), de bevinding was zo ernstig (ging om een printer-gerelateerde zaak, waardoor het niet alleen om deze gemeente ging, maar het een landelijk issue werd), dat de fabrikant de boel heeft mogen fixen.

Nog een paar linkjes die tijdens de presentatie genoemd werden:

Shodan

Kali Linux

Censys

NMap

 

Hierna krijgen we nog één grote sessie van Huib Modderkolk over “Het is oorlog maar niemand die het ziet” (link). Onderzoeksjournalist bij de Volkskrant, zo nu en dan aanwezig bij DWDD.
Ook eerst weer een stukje geschiedenis (Wim Kok achter een pc in 2000) en een verhaal over Stuxnet. Hoe deze bepaalde pc’s aanvalt als er bepaalde software op staat. Dertig dagen wacht en dan 2 dagen actief is en de data toont van de afgelopen 30 dagen. Hoe kwam dit virus in Natanz (we zien het boek Countdown to Zero Day van Kim Zetter). Diginotar komt voorbij, de leverancier van SSL certificaten waarbij alles afgesloten stond in een kluis, maar omdat de medewerkers het teveel moeite vonden er een netwerkkabel naar buiten ging…

Rond 17.00 uur is het programma afgelopen. Ik haal mijn jas op, ga naar de parkeergarage (even 17.50 neertellen) en rij weer naar huis. Rond 18.30 uur ben ik weer thuis. Een leerzame dag!

 

Programma is hier te vinden: link.

Foto’s staan hier: album.