Op hackersconventie BlackHat ligt alles onder vuur

BlackHat, de jaarlijkse hackersconferentie in Las Vegas, biedt dit jaar eens te meer een huiveringwekkend overzicht van wat allemaal bloot staat aan digitale aanvallen.

De jaarlijkse ontmoeting van (bona fide) hackers en security experten in de VS – BlackHat – bracht als steeds een verbluffende staalkaart van de groeiende variëteit aan aanvallen op zowel zakelijke, industriële, huiselijke als persoonlijke digitale systemen.

Bedrijven belaagd

De kern van de conferentie werd als vanouds gevormd door informatie over aanvallen op informatiesystemen in bedrijven, met zelfs een sessie over mainframes (niet zo vreemd, aangezien mainframes steeds vaker gebruik maken van besturingssystemen als Linux in web- of cloudomgevingen). Maar ook hoe systemen tot op het niveau van het geheugen – zowel werkgeheugen als Flash geheugen – kunnen worden aangepakt. En er werd zelfs aandacht aan de ‘insider threat’ besteed, of hoe de eigen werknemers vaak een gevoelige achillespees blijven.

Verscheidene sessies bespraken hoe bedrijven zich kunnen wapenen tegen ‘denial of service’ aanvallen (die systemen ontoegankelijk maken voor reguliere gebruikers), onder meer op basis van de ‘Spamhaus’-case. Anderzijds kwam ook aan bod hoe automatische

beschermingssystemen, evenals veilige bootsystemen, buiten spel kunnen worden gezet – een noodzakelijk aandachtspunt in bedrijven. En natuurlijk hoe mobiele systemen kwetsbaar blijven (voorbeelden uit de verschillende mobiele OS-omgevingen), maar ook hoe beheersystemen van mobiele toestellen (mobile device management) kunnen worden omzeild. Een bijkomende zorg voor ict’ers die met ‘BYOD’-verlangens van gebruikers worden geconfronteerd.

Kwetsbare industrie

Voorts wordt het steeds duidelijker hoezeer industriële installatie kwetsbaar zijn voor aanvallen! Op BlackHat werd gedemonstreerd hoe in een waterbedrijf een overdruk kon worden gecreëerd, met een explosieve breuk tot gevolg, naast een sessie die sensoren in gas- en oliepijplijnen foute meetresultaten lieten geven en een over problemen met ‘slimme meters’ in het elektrisch verdeelnet.

Het stijgend aantal problemen is mede het gevolg van de groeiende onderzoek naar zwakheden in industriële systemen. Maar tevens blijkt vaak hoe weinig middelen nodig zijn voor dergelijke aanvallen. Redenen hiervoor zijn het gebrek aan aandacht voor security in de basisontwerpen en een grote inertie bij leveranciers en gebruikers om beveiligingen te installeren (wegens de hoge kostprijs, en door een gebrek aan ervaring om snel en vaak ‘patches’ uit te voeren). Kortom, het is niet omdat de problemen nu gekend zijn, dat die ook op korte termijn van de baan zullen zijn, klinkt het, waardoor de kans op problemen met kritieke infrastructuren reëel blijft.

Dichter bij huis

Ook huis- en persoonlijke systemen liggen onder vuur. Nieuw is dat niet, maar de groeiende populariteit van huisnetwerken en domoticasystemen, verscherpen wel het probleem. Zo waren er meerdere sessies hoe domotica kan worden verstoord, inclusief een sessie hoe ‘smart tv’s’ (van Samsung, al bekend geraakt eind vorig jaar) kunnen worden gehackt.

Helemaal persoonlijk wordt het als ook digitale toestellen voor persoonlijk gebruik, waaronder medische toepassingen (zoals pacemakers), kwetsbaar blijken voor hacken. De sessie terzake door Barnaby Jack, van IOActive, ging evenwel niet door wegens het overlijden van de spreker. Eerder had hij al meegewerkt aan een onderzoek naar de verstoring van de werking van insulinepompjes.

En de wet?

Evenzeer interessant was de (groeiende?) aandacht voor het wettelijk kader waarin onder meer hacking, het onderzoek naar zwakheden en het uitvoeren van testen kan worden uitgevoerd.

De BlackHat conferentie wordt traditioneel gevolgd door DefCon, een event waar hardcore hackers, specialisten en vertegenwoordigers van overheidsdiensten elkaar ontmoeten. Alleen, dit jaar werden de overheidsmensen door de stichter van DefCon vriendelijk uitgenodigd om DefCon niet bij te wonen, in de nasleep van de Prism affaire. Vorig jaar werd de baas van de Amerikaanse securitywaakhond NSA (National Security Agency), Keith Alaexander, nog op DefCon uitgenodigd als keynote-spreker – een première. Dit jaar gaf hij een keynote op BlackHat, en daarbj werd hij vanuit de zaal verbaal aangevallen en uitgejouwd (hoewel hij zich blijkbaar met verve heeft verdedigd).

Ook in België

Voor de belangstellenden: ook in België wordt een ‘hackers’ securityconferentie georganiseerd, BruCON, die dit jaar al aan een vijfde editie toe is. Het event gaat door in Gent, op 26 en 27 september, voorafgegaan door drie dagen van securitytrainingen. Er wordt onder meer een keynote gehouden door de verantwoordelijke voor security bij Dow Jones.

En het wordt een druk securitynajaar in België, want van 4 tot 7 september gaat in Leuven het International Cyber Security Strategy Congress 2013 door. Het thema is ‘Moving towards trustworthy digital ecosystems’, gezien het groeiend aantal toestellen en systemen die in netwerken worden gekoppeld, vaak over het publieke internet. Het event beoogt een kijk op uitdagingen en mogelijke oplossingen te brengen voor ict-professionals die niet gespecialiseerd zijn in securityaangelegenheden.

Voorts organiseert Belnet op 24 oktober e.k. de Belgian Internet Security Conference, in samenwerking met Cert.be, Fedict, Febelfin, Agoria, Beltug, BCCentre, BIPT, FCCU, FOD Justitie, FOD Economie en V-ICT-OR. Aan bod komt de samenwerking tussen bedrijven uit de private sector, de overheid, ict-professionals en eindgebruikers inzake een cybersecurity strategie en een gecoördineerde aanpak door alle sectoren.