Saturday, May 11, 2013

November-beurs over Security in de Jaarbeurs

Deze beurs bezoek ik elk jaar. Aanvankelijk (2008) voor open source en Linux. Maar daarna steeds meer vanwege de groeiende aandacht voor security. De beurs omvat drie gebieden: Storage, Tooling en Security/ open source. Volgens mij is in toenemende mate Security het belangrijkste onderwerp geworden. Er waren door de jaren altijd uitstekende sprekers, die de achtergronden van de bedreiging diepgaand analyseerden. Ik heb daarvan op deze weblog regelmatig verslag gedaan.
Trends die ik dit jaar waarnam: Het bezoekersaantal blijft explosief stijgen. Diverse lezingen, ook in de grote congreszalen, moesten vóór aanvang de deuren sluiten wegens te grote toeloop. Verder zijn er grote groepen jongeren ( mbo- en hbo-scholieren, schat ik in). Daardoor zie je langzamerhand ook een steeds grotere aanwezigheid van allochtone jongeren. Tenslotte zag ik ook diverse Belgische sprekers. Al eerder nam ik op beurzen over The Cloud waar, dat Belgen heel actief zijn op de technische gebieden van internet en cloud.
Als eerste luisterde ik naar de Belgische spreker Jan Guldentops. Hij had als titel van zijn verhaal 'nihil novi sub solem'. Aangenaam verrast concludeer ik daaruit, dat we te maken hebben met een collega-gymnasiast. Ik vind die mannen altijd uitblinken in analytisch vermogen en brede reflectie, altijd een verademing naast de hypegedreven hijgers. Hij is een historicus, die in de ICT verzeild is geraakt (in zijn eigen woorden “in de ICT aan lager wal is geraakt”.) Hij ontwikkelde zich als ICT- security onderzoeker, nadat hij in 1996 enorme kwetsbaarheden in het eerste Belgische internet-banking systeem ontdekte. Uit nieuwsgierigheid probeerde hij het systeem binnen te komen en tot zijn verbazing ging dat heel gemakkelijk, waarbij alle systeemvariabelen en toegangssleutels leesbaar te vinden waren.
Zijn betoog komt erop neer, dat vanaf 1997 tot op heden eigenlijk niets is veranderd. Er zijn veel bedreigingen aangetoond en ook allerlei beveiligingstechnieken ontwikkeld, maar de toepassing daarvan wordt schromelijk verwaarloosd. Zijn opsomming:
-Single sign on en het managen van rollen wordt nog nergens doorgevoerd.
-Ontwikkelaars zetten nog steeds passwords in cleartext in hun toepassingen. (De volgende stap is toepassen van een hasher. De volgende dan een centraal systeem voor beveiliging.)
-E-mail is voor velen het belangrijkste communicatiemiddel, maar nog weinigen gebruiken encryptie.
-SMTP wordt veel gebruikt, maar hij vindt dat oud en simpel. Volgens hem is de ondertekening van mail de oplossing voor spam. -Ipv6 en encryptie blijven achter.
-De Diginotar-case is van dit alles een bevestiging. Notabene bij een instantie die beveiligingscertificaten uitgeeft voor Nederlandse overheidsdiensten.
-Risk assessment wordt niet gedaan.
-Stomme no-brainers worden niet gedaan.
Daar komt bij dat door de wet van Moore hackers steeds meer potentieel hebben, bijvoorbeeld om codes te breken en om DDOS aanvallen uit te voeren. Hij stelt, dat het killerproduct voor beveiliging het gezonde verstand is. Standaarden moet je niet laten verworden tot papieren tijgers en je moet voortdurend investeren in Awareness. Vraag voor de cloud om 'legal, real guarantees'. Maar ik vraag me af, of je die kunt krijgen. (In een andere sessie zie ik iemand de patriotact aanhalen. Volgens hem heeft de Amerikaanse overheid niks te maken met allerlei afgegeven garanties en kan zij alle bestanden inzien, die zich op haar grondgebied bevinden en zelfs bestanden die elders zijn, maar die beheerd worden door een Amerikaans bedrijf.)