Eerste impressie
Aansluitend aan Black Hat is de DEF CON conferentie in Las Vegas. Voor het eerst gehouden in 1993, toen ook al in Las Vegas, is hét event voor hackers uit de hele wereld. Voor mij de eerste keer (maar ik ben ook geen hacker) en het is een belevenis. Om te beginnen is het druk, heel druk, meer dan 30.000 mensen in een relatief kleine conventie (veel kleiner dan bij Black Hat met meer mensen), iedereen met een mondkapje op en uitgedost in de kleuren of dresscode van zijn of haar community. Het is een enorm sociaal event, veel verschillende communities die zich specialiseren of richten op bepaalde voorkeuren (in de breedste zin van het woord). Er zijn bijvoorbeeld 30 villages waar liefhebbers van onder andere hardware hacking, radio, bio hacking, car hacking, lockpicking etc bij elkaar komen en waar je allerlei opdrachten, capture the flag en knutselwerkjes kan doen.
Hacker Summercamp
Zit je in deze “scene” dan is het ongetwijfeld genieten, ik heb wat twitter posts langs zien komen van mensen die al heel lang uitkijken naar dit “Hackers summercamp” en ook allerlei hacking tools, stickers, buttons, badges en andere dingen meenemen. Er zijn van die verschillende communities ook verschillende feestjes, dus ook daarin kan je kiezen waar je je thuis voelt. Boven dit artikel een foto van de DEF CON 30 badge, het is een badge waarmee je muziek kan maken, samplen en die je zelfs aan elkaar kunt koppelen, zegt iets over dit event.
Dat doe ik dus niet, mee hier thuis voelen, ik val ook uit de toom door hier in een polo rond te lopen in plaats van een zwart of grijs shirt met een of ander logo of een tekst erop (beetje generaliseren wel hoor, maar zo typeerde mijn zoon het). Inhoudelijk voel ik me hier ook niet thuis, ik heb weinig development achtergrond (tel ik een applicatie schrijven in Visual Basic als afstudeeropdracht in de vorige eeuw zelfs mee) en heb ook veel meer een defensive dan een offensive mindset.
Hacker Perspectief
Desalniettemin is het wel nuttig, als ik kijk met hoeveel toewijding individuele security researchers als Thijs Alkemade op zoek gaan naar bugs en flaws in software en operating systems en met hoeveel toewijding criminelen dat doen dan mis ik die toewijding nog wel eens in de defensive wereld. Wat mij ook duidelijk is geworden is dat er ook in software sprake is van een “Technical Debt”. Thijs Alkemade heeft een kwetsbaarheid gevonden in MacOS in een feature die er al meer dan 10 jaar in zat, maar door updates later kwetsbaar is geworden (het verhaal inhoudelijk ging veel te diep voor me maar als een liefhebber van MacOS vond ik het wel indrukwekkend). De bug is gefixed en volgens Apple ook met terugwerkende kracht voor oudere OS-versies, maar daar hebben ze wel 9 maanden over gedaan! Thijs werkt bij een security bedrijf, heeft het helemaal netjes gemeld en samengewerkt met Apple, maar stel dat een kwaadwillend persoon dit (ook) had gevonden!
Kwetsbare software en systemen
In de algemene sessies van gisteren werden kwetsbaarheden onthuld in onder andere Windows (7, 8 en 11), Microsoft Teams, Linux, IIS, MS Endpoint Manager, IoT devices, PPPoE en MacOS dus. En dat zijn allemaal responsible disclosures, gevonden, gemeld, gefixt (meestal). Vandaag zie ik Iphone, Chromebook, Xbox, Militaire systemen, Windows 11 en landbouwsystemen op het programma staan……
Kan iedere kwetsbaarheid ook direct misbruikt worden, nee, lang niet altijd. Lagen van beveiliging voorkomen vaak dat er misbruik van gemaakt kan worden, maar is een aanvaller eenmaal in je interne netwerk, dan wordt het vaak een ander verhaal. Kijken naar je netwerk vanuit het perspectief van een hacker helpt dus zeker om te prioriteren, maar vergeet niet het scenario verder af te spelen wanneer een hacker wel binnen is! Over de defensive kant van dit probleem heb ik de afgelopen week een aantal artikelen geschreven en ik zal de komende maanden nog wel wat onderwerpen beetpakken en daar wat video’s of artikelen over schrijven.
Laatste dag
Vandaag dag 2 en ik ga mijn geplande programma wat aanpassen. Wat mij gisteren opviel is dat er veel aandacht voor wet- en regelgeving en beleid is, er is zelfs een apart policy track.
Ik ga daar mijn licht eens opsteken.
Morgen mijn laatste dag, het is mooi geweest. De informatieoverload begint toch toe te slaan Michiel, tijd om aan het werk te gaan en al die nieuwe inzichten toe te gaan passen.
Ik zal nog een wrap-up video maken voor ik het vliegtuig in stap en terug naar het koude Nederland ga….
Grappig feitje, het is vandaag in Las Vegas, Paramaribo en Rotterdam even warm en gisteren regende het hier in Vegas en zag ik een hele mooie regenboog. Vandaar vandaag geen foto van de zonsopgang maar van die regenboog.
Stay safe en keep patching!
Fout: Contact formulier niet gevonden.