DEFCON is een van de grootste hackerconferenties ter wereld. Het event duurt vier dagen en bestaat uit lezingen, workshops, ontmoetingen en wedstrijden. De deelnemers zijn hackers, computerdeskundigen, headhunters, verslaggevers, journalisten, FBI-agenten, CIA, ICT-specialisten en studenten. Erik Slingerland, information security officer bij Centric Financial Services & Solutions, was er dit jaar ook bij, samen met twee bancaire klanten van Centric. Wat viel hem op en wat neemt hij mee naar huis?
De bezoekers van DEFCON zijn van allerlei pluimage. Erik: “Er loopt van alles rond. Van 6- of 7-jarigen met hun ouders tot 70-plussers, Chinezen, Russen, Europeanen, Amerikanen… De conferentie richt zich op hacking in de breedste zin van het woord: hoe maak je bijvoorbeeld deursloten open? Hoe beveilig je auto’s, stemmachines of hardware? Hoe soldeer je een condensator op een printplaat? Ook social engineering is een belangrijk aandachtsgebied – de techniek waarbij internetcriminelen de zwakste schakel (de mens) gebruiken om vertrouwelijke informatie te ontfutselen.”
Magneet voor kwaadwillenden?
Erik nuanceert het idee van hackerswalhalla DEFCON als magneet voor kwaadwillenden. “Ze zullen er best rondlopen, en sommige presentaties zou je dubieus kunnen noemen, over het openen van een elektronisch slot van een huurfiets bijvoorbeeld. Maar het wordt simpelweg niet getolereerd door de gemeenschap. Waar het uiteindelijk om gaat, is dat mensen slimmer zijn dan het systeem, het besturingssysteem of andere mensen. Dat ze gaten kunnen dichten en duidelijk maken aan de rest van de wereld: let op, hier kunnen mensen kwaad mee.”
In lezingen over nieuwe dreigingen wordt ingegaan op bijvoorbeeld de risico’s van werken in de cloud. Erik: “Het gaat allemaal steeds dieper en wordt steeds complexer. Daar kunnen we binnen Centric goed rekening mee houden en er onze securitystrategie mee verbeteren. Want het gaat inmiddels om veel meer dan alleen Windows. Je moet tot op hardware-, proces- en protocolniveau zaken kunnen achterhalen.”
Privacy
In Europa is privacy, zie de AVG-wetgeving, een belangrijk thema voor veel Europese burgers. Hoe anders is dat in de VS, waar de belangen van het bedrijfsleven zwaarder wegen. Erik: “Zo volgde ik een lezing van een Amerikaanse advocaat die vertelde dat alles wat jij als bezoeker invoert op een website, in de VS automatisch eigendom wordt van de eigenaar van die website. Hier in Nederland is het honderdtachtig graden anders en blijf jij als websitebezoeker gewoon eigenaar van je data. Zeker voor financiële instellingen moeten we daar goed rekening mee houden als er zaken naar de cloud gaan. Wie kan daarbij en wie niet? Het laatste wat je wilt als financiële instelling is dat een Amerikaanse leverancier ineens allerlei gegevens overdraagt. Om nog maar te zwijgen over China. Niks geen beveiligde netwerkverbindingen, daar eist de overheid in alles openheid van zaken. Interessant om te weten natuurlijk wanneer je als bedrijf van plan bent in zee te gaan met een Chinese partij. Men doet daar ook al veel met gezichtsherkenning, en niemand die daar een probleem van maakt. Bedenk je eens wat er gebeurt als in de daarvan aangelegde database zaken veranderd kunnen worden. Dan is echt het einde zoek. We moeten zo langzamerhand echt uitkijken. Bezoek een willekeurige website en er zijn zo twintig, dertig andere sites die met je meekijken: waar klik je op, hoe lang kijk je ergens naar? En dan heb ik het nog niet eens over Facebook. Die weet alles over je.”
Goed huisvaderschap
Een van de boeiendste lezingen vond Erik die van een medewerker van de NSA, de National Security Agency. Hij vertelde over nieuwe dreigingen en hoe je daartegen te beveiligen. Erik: “Wat bleek? Van alle beveiligingsincidenten die zich in 2017 hebben voorgedaan, had 93% voorkomen kunnen worden door goed huisvaderschap. Gewoon door heel simpel de alledaagse regels te volgen. Een goed wachtwoord, nadenken over wie je autoriseert, welke applicaties je mag gebruiken…” Die laksheid komt volgens Erik voornamelijk omdat mensen het gevaar nog steeds niet onderkennen. “’Ik ben toch niet interessant? Het zal wel loslopen’, dat is het idee. Maar als er inmiddels één ding duidelijk is, dan is het wel dat álle gegevens van íedereen interessant zijn.”
Security by obscurity
Ook de verkiezingen in de VS waren een thema op DEFCON. Erik: “In een kamer was een stemapparaat neergezet om te kijken of er iemand was die dat kon hacken. En jawel: een11-jarig meisje had binnen twee minuten de gegevens uit die machine boven water. En niet alleen dat, ze had ook alle Trump-stemmen verwijderd. Een leverancier van stemapparaten had flinke kritiek op deze actie en vond dat je buitenstaanders niet de gelegenheid mocht geven een stemapparaat te hacken. Het weerwoord van de organisator? ‘Als jij écht veilig wilt zijn, laat je hackers juist wel naar kwetsbaarheden in je apparaten zoeken. Dat binnenskamers willen houden, is een zwakte.’ Binnen de informatiebeveiligingswereld is daar een kreet voor: security by obscurity. En dat is nou net wat je niet wil hebben.”
Gerelateerd:
Interview met Erik Slingerland over informatiebeveiliging in financiële sector