De jaarlijkse Black Hat conferentie – en het aansluitende Def Con – brengt hackers, securityspecialisten en vertegenwoordigers van ordediensten samen voor een tweedaags onderling steekspel.
De jaarlijkse Black Hat conferentie – en het aansluitende Def Con – brengt hackers, securityspecialisten en vertegenwoordigers van ordediensten samen voor een tweedaags onderling steekspel.
Liefhebbers van westernfilms weten dat de ‘goede’ held altijd een witte hoed draagt, terwijl de boosdoeners zwarte hoeden hebben. De naam ‘Black Hat’ laat dan ook veronderstellen dat deze securityconferentie een interessant en levendig forum voor discussies en demonstraties van ‘aanvallen’ vormt. Zo werd dit jaar al getoond hoe vrijstaande Amerikaanse geldautomaten konden worden gekraakt zodat ze hun hele geldvoorraad afleveren. De ‘hack’ vereist wel de mogelijkheid om via een modem toegang te krijgen tot het toestel, terwijl de ‘ontdekker’ uitdrukkelijk de gebruikte code niet vrijgeeft. De geldautomaten in België vormen zo goed als zeker geen slachtoffer voor deze concrete aanval, gezien de wijze waarop ze zijn ingebouwd.
SSL gebroken
Op Black Hat valt over een hele rits onderwerpen informatie te rapen, met in de keynote van Black Hat’s oprichter Jeff Moss de klacht dat de in e-commerce veel gebruikte SSL beveiliging niet meer veilig is. Een claim die overigens meteen werd gerelativeerd door andere experten.
Van zijn kant riep Microsoft op tot meer samenwerking tussen onderzoekers en softwarebouwers, naar analogie met ‘buurtwachten’. Het heeft daarbij een voorstel tot een ‘coordinated vulnerability disclosure’-politiek gedaan, waarbij bedrijf en onderzoekers al samenwerken vooraleer de kwetsbaarheid wordt bekend gemakt.
Wanneer, in welke mate en op welke wijze zwakten en fouten in software en producten moeten worden onthuld, is al jaren een heikele aangelegenheid. Naast digitale inbrekers (black hats) en de verdedigers (white hats), heeft men immers ook nog ‘grey hats’, die de bedrijven vaak op de zenuwen werken. Grey hats zoeken immers naar zwakheden in de software en producten, om vervolgens die informatie eventueel al vrij te geven vooraleer een patch werd gebouwd. Voorts verkiezen ze niet zelden die informatie aan de betrokken producent of derden te verkopen.
Inspanningen worden ook geleverd om de daders achter de aanvallen op te sporen. Greg Hoglund, cto van HBGary stelt zo een aantal kenmerken van de werkwijze en gebruikte middelen te hebben gevonden van de daders die de grootschalige aanval tegen Google en co hebben opgezet. Die informatie kan worden aangewend als een soort ‘vingerafdruk’ van die daders, wat kan helpen bij de verdere zoektocht en/of bij de verdediging tegen toekomstige aanvallen.
Voorts moet ook nog aan het gedrag van securityexperten zelf worden gesleuteld, in het bijzonder in sociale netwerken. Op Black Hat stelt Thomas Ryan (Provide Security) een onderzoek voor hoe een gefingeerde persoon (de 25-jarige en beeldmooie Robin Sage, security expert bij de Amerikaanse ‘navy’) via Facebook, Twitter en LinkedIn tientallen securityexperten wist te verleidden tot connecties. Volgens Ryan wisselden die vrienden met ‘Sage’ heel wat informatie uit die kon worden misbruikt.
Wie Black Hat en Def Con dit jaar heeft gemist, kan de sfeer van deze events toch ietwat opsnuiven op het Belgische broertje, BruCON, op 24 & 25 september.
