Securitybeurs 30 oktober 2013

Deze najaarsbeurs in Utrecht omvat Storage, Linux, Tooling en Security. En in de 8 jaren dat ik er nu heen ga, is Security van een bijprogramma geevolueerd naar het absolute hoofdprogramma. Altijd fascinerend om sprekers te horen, die wat dieper kijken in wat er nu eigenlijk gaande is bij de bedreigingen waarover wordt gesproken. Het komt nu eigenlijk niet meer voor, dat een gehoorzaal voor het grootste deel leeg is. Het is altijd tjokvol en bij sommige lezingen moet je echt een kwartier eerder komen om zeker te zijn van een plaats. Vooral als er sprekers zijn, die bekend zijn van radio of televisie. Zoals dit jaar de onderzoeksjournalist Brenno de Winter. Ik kon daar nog net een staanplaats achterin bemachtigen. Maar zijn verhaal sprak mij niet aan. Hij klaagde er vooral over, dat overheden op het terrein van security de pot dicht houden en geen inzicht willen geven in wat er mis gaat en welke steken overheden hebben laten vallen. Ze gebruiken daarbij het nationaal belang als argument, maar volgens De Winter kan terrorismebestrijding veel beter als maximale openheid wordt betracht. De enorme activiteit op het beursterrein is volgens mij ook een indicatie, dat de recessie wijkt. Er is activiteit en er wordt onderzocht waar je moet investeren. Ook de voortdurende verjonging van het beurspubliek wijst op nieuwe tijden en nieuw elan.

Ik wilde graag de Deloitte Hackingcontest bijwonen. Om te zien en te begrijpen, wat hackers eigenlijk doen. Hacken kun je niet leren; ik hoorde al eens een man van Fox IT zeggen, dat al die zogenaamde opleidingen en certificaten onzin zijn. De echte hackers ontwikkelen zichzelf in hun achterkamertje en in interactie met geestverwanten. Deloitte investeert in een groep ethical hackers en doet ook mee aan de CyberLympics.. Er zaten 15 hackerteams. Meestal in tweetallen zaten ze achter hun pc. Nadat ze de opdracht hadden gekregen, liep een moderator rond en gaf commentaar op hun vorderingen. Op een groot scherm was de voortgang te zien. Als een team tot op een bepaald niveau is binnengedrongen in het te hacken systeem, dan vinden ze een vlag die ze moeten rapporteren aan het centrale scoringssysteem . Een truc die wel eens wordt toegepast, is dat ze de gevonden vlaggen nog niet rapporteren, maar achter de hand houden. Aan het einde van de contest gaan ze dan opeens al hun vlaggen rapporteren en spuiten dan op het scorebord de andere teams voorbij om onverwacht de leiding te nemen. Voor hackers zijn er tools beschikbaar, die hun werkzaamheden versnellen. Genoemd worden Backtrack, kali en poortscanners. Er staat voorin de zaal ook een grote container met papierafval. Daarin kunnen hackers ook zoeken naar aanknopingspunten. Dat wordt Dumpster Diving genoemd. Graven in een container om ingangen te vinden. Er werd een voorbeeld getoond, hoe hackers bij het inlogscherm niet userid en wachtwoord opgeven, maar sql injecteren, die in de database de conclusie trekt, dat de gegevens (userid plus wachtwoord) matchen, zodat je binnen mag. Of je vraagt in een systeem het rapport over september op en haalt in plaats daarvan de wachtwoordfile op.

Voor deze contest is een systeem opgezet met daarin een mailclient, webserver e.a. Teams moeten hun vlaggen rapporteren aan het centrale scoringsysteem, zodat de zaal kan zien hoe de teams het doen. Team rood spoot snel naar 100 resp 200. Andere teams kwamen later op gang. Een team spoot plotseling naar de 400. Deze hacker won, maar bleek het scoresysteem gehacked te hebben! Het demonstreerde wel, hoe een hacker denkt. Hij ziet een applicatie niet zoals deze gedacht is voor gebruik. En hij houdt zich ook niet aan de opdracht in de contest om het opgezette systeem te hacken. Hij ziet alleen een doos waaraan je kunt morrelen, respectievelijk kijken waar openingen zitten. Zoals ooit eerder is beschreven, zoekt hij de openingen. Er zijn in de criminele bedrijfstak weer andere specialisten die vervolgens bezien hoe je de openingen kunt misbruiken.