Erg levendige editie van Black Hat
De editie 2011 van de Black Hat securityconferentie in Las Vegas heeft een veelheid aan heikele punten aangekaart.
De editie 2011 van de Black Hat securityconferentie in Las Vegas heeft een veelheid aan heikele punten aangekaart.
Met een naam die openlijk verwijst naar malafide hackers (black hats) heeft Black Hat zich doorheen de jaren een stevige reputatie opgebouwd als ontmoetingsplaats van securityspecialisten uit bedrijven, overheids- en ordediensten.
Dit jaar illustreerde het programma hoe schier alle mogelijke elementen van onze digitale en geautomatizeerde samenleving kunnen worden aangevallen (en dat steeds makkelijker, dank zij de ontwikkeling van malafide tools). Dat gaat van industriële automatizeringselementen (als plc’s, zoals aangetoond door Stuxnet) langs autosystemen (zelfs van rijdende voertuigen) tot schier alle op het (inter)net aangesloten systemen.
Een van de sessies toonde onder meer hoe zoektools onbeschermde toestellen met ingebedde systemen (zoals voip infrastructuren, copiers en printers, opslagsystemen etc) kunnen vinden en vervolgens aanvallen. Er was zelfs een sessie die aantoonde hoe ‘slimme’ batterijsystemen in de nieuwe mobiele systemen kunnen worden gehackt.
Groeiende aandacht was er ook voor de kwetsbaarheid van mobiele systemen, zoals smartphones. Een studie van Lookout Mobile Security stelt onder meer dat Android systemen vandaag ca. 2,5 keer meer gevaar lopen door malware te worden getroffen dan zes maand geleden. Alle smartphone systemen hebben tevens problemen inzake privacy en het potentieel lekken van informatie.
Vanzelfsprekend vormde ook het door McAfee gepubliceerde ‘Shady RAT’ onderzoek besproken, waarbij blijkbaar er weinig twijfel bestaat bij experten dat China achter deze reeks inbraken zat.
BlackHat is tevens een gelegenheid voor leuke en opmerkelijke securityitems. Zo werd voor de vijfde maal de ‘Pwnie Awards’ (waarvij ‘pwnie’ verwijst naar ‘pwned’, een slang woord dat verwijst naar ‘owned’ zoals een systeem dat door malafide personen is overgenomen) uitgereikt.
Daarin worden zowel de grootste security-klunzen gelauwerd, als succesvolle onderzoekers. In de categorie ‘klunzen’ noteren we Sony (‘Most Epic Fail’ award, omdat het niet alleen een paar zware security-problemen heeft gekend, maar blijkbaar kort voordien ook veel personeel in zijn network security team had ontslagen), RSA (‘Lamest Vendor Response’ n.a.v. de SecurID problemen) en Microsoft (‘Best Escalation Bug’ award).
Opmerkelijk was ook een zelfgebouwd systeem om vanuit de lucht, met behulp van een radiogestuurd vliegtuigje en een 4G connectie, draadloze netwerken te ‘sniffen’, mobile systemen te tracken, data te stelen en dies meer.
Aangeduid als een ‘Wireless Aerial Surveillance Platform’ (WASP) door de bouwers, kan een dergelijk systeem zowel door malafide gebruyikers als door ordediensten worden aangewend.
Fout opgemerkt of meer nieuws? Meld het hier